VECT 2.0 Ransomware
Den cyberkriminella operationen känd som VECT 2.0 presenterar sig som ransomware, men teknisk analys visar beteende som mycket mer liknar en datarensning. En allvarlig brist i dess krypteringsimplementering på Windows-, Linux- och ESXi-varianter gör filåterställning omöjlig, även för operatörerna bakom attackerna.
För filer större än 131 KB, vilket inkluderar de flesta företagskritiska data, erbjuder den skadliga programvaran inte återställningsbar kryptering. Istället förstör den permanent de data som behövs för återställning. Som ett resultat erbjuder lösensumma ingen realistisk väg till återställning.
I alla VECT 2.0-incidenter bör förhandling inte betraktas som en åtgärdsstrategi. Det finns ingen fungerande dekrypterare att leverera eftersom den information som krävs för att bygga en elimineras under exekveringen. Defensiva prioriteringar bör fokusera på offline-säkerhetskopior, validerade återställningsplaner, snabb inneslutning och affärsmotståndskraft.
Innehållsförteckning
En växande RaaS-verksamhet med kriminella partnerskap
VECT lanserades ursprungligen som ett Ransomware-as-a-Service (RaaS)-program i december 2025 och har sedan dess bytt namn till VECT 2.0. Dess mörka webbportal marknadsför modellen "Exfiltration / Encryption / Extortion", vilket signalerar en trippelutpressningsmetod.
Nya affiliates debiteras enligt uppgift en inträdesavgift på 250 dollar för Monero (XMR). Sökande från Oberoende staters samväld (OSS) är dock undantagna, vilket tyder på riktad rekrytering från den regionen.
Gruppen har också ingått partnerskap med BreachForums och hackerkollektivet TeamPCP. Detta samarbete verkar vara utformat för att förenkla ransomware-operationer, sänka hindren för nya partners och beväpna tidigare stulen data för ytterligare attacker.
Kombinationen av stöld av autentiseringsuppgifter i leveranskedjan, organiserad affiliate-verksamhet och forumbaserad kriminell mobilisering återspeglar ett alltmer industrialiserat ekosystem med ransomware.
Antalet offer förblir lågt trots djärva påståenden
Trots aggressiv varumärkesprofilering listar VECT 2.0:s läckagesida enligt uppgift endast två offer, båda påstås ha komprometterats genom TeamPCP-relaterade leveranskedjeattacker.
Gruppen hävdade initialt att de använde ChaCha20-Poly1305 AEAD, en starkare autentiserad krypteringsmetod. Teknisk granskning fann dock att användningen av en svagare oautentiserad kryptering saknade integritetsskydd, vilket väckte allvarliga tvivel om både kapacitet och trovärdighet.
Krypteringsfelet som förstör data
Den mest kritiska bristen i den skadliga programvaran ligger i hur den bearbetar filer större än 131 072 byte. Istället för att säkert kryptera återställningsbar data delar den upp varje stor fil i fyra delar och krypterar varje sektion med hjälp av separata slumpmässigt genererade 12-byte nonce-värden.
Endast den sista noncen lagras med den krypterade filen. De första tre nonce-felen, som krävs för att dekryptera majoriteten av filen, genereras, används en gång och kasseras permanent. De sparas inte lokalt, skrivs inte till registret eller skickas till operatören.
Eftersom ChaCha20-IETF-metoden kräver både rätt 32-byte-nyckel och matchande nonce-kod för dekryptering, blir de första tre fjärdedelarna av varje drabbad fil oåterställbara. Detta innebär att VECT 2.0 fungerar operativt som en destruktiv avstrykare dold bakom ransomware-meddelanden.
Windows-variant: Avancerade funktioner, svag exekvering
Windows-versionen är den mest funktionsrika och riktar sig till:
- Lokala enheter, flyttbara medier och tillgänglig nätverkslagring
- 44 säkerhets- och felsökningsverktyg genom antianalyskontroller
- Mekanismer för persistens i felsäkert läge
- Mallar för fjärrkörningsskript för lateral förflyttning
När den startas med --force-safemode konfigurerar den skadliga programvaran nästa omstart i felsäkert läge och lägger till sin körbara sökväg i Windows-registret så att den automatiskt körs efter omstart i en miljö med reducerad säkerhet.
Intressant nog, även om Windows-varianten innehåller mekanismer för miljödetektering och undvikande, anropas dessa rutiner enligt uppgift aldrig. Detta kan göra det möjligt för försvarare att analysera prover utan att utlösa smygande svar.
Linux- och ESXi-varianter utökar hotbilden
ESXi-versionen utför geofencing och anti-debugging-kontroller innan kryptering påbörjas. Den försöker också lateral förflyttning via SSH. Linux-varianten delar samma kodbas som ESXi-exemplet men har färre funktioner.
Detta plattformsoberoende stöd ger VECT 2.0 bred potential för målgruppsanpassning mot företagsmiljöer, särskilt de som förlitar sig på virtualisering och blandade operativsystem.
Ovanlig CIS-geofencing väcker frågor
Innan system krypteras kontrollerar skadlig programvara om den körs i ett OSS-land. Om så är fallet stoppas exekveringen. Det är värt att notera att Ukraina enligt uppgift fortfarande ingår i dessa undantag, ett ovanligt beteende eftersom många ransomware-grupper tog bort Ukraina från OSS-undantagslistor efter 2022.
Två troliga förklaringar har föreslagits:
Tecken på oerfarna operatörer
Även om VECT 2.0 marknadsför sig som ett polerat hot över flera plattformar med affiliaterekrytering, partnerskap i leveranskedjorna och professionellt varumärke, berättar det tekniska utförandet en annan historia.
Säkerhetsbedömningen tyder på att operatörerna är mer benägna att vara nya hotaktörer än erfarna ransomware-utvecklare. Möjligheten att delar av den skadliga programvaran producerades eller assisterades av AI-genererad kod kan inte uteslutas.
Säkerhetsbedömning för chefer
VECT 2.0 visar hur farligt utseende ransomware fortfarande kan vara tekniskt bristfälligt. Dess infrastruktur, partnerskap och varumärke skapar bilden av ett allvarligt kriminellt företag, men krypteringsdesignfelet undergräver utpressningsmodellen helt.
För försvarare är lärdomen tydlig: fokusera på motståndskraft, säkerhetskopiering, segmentering och snabb incidentrespons. I en VECT 2.0-attack köper betalning inte återhämtning, den följer bara förstörelse.
