VECT 2.0 ரேன்சம்வேர்
VECT 2.0 என அறியப்படும் இணையக் குற்றச் செயல்பாடு, தன்னை ஒரு ரான்சம்வேர் போலக் காட்டிக்கொள்கிறது, ஆனால் தொழில்நுட்பப் பகுப்பாய்வின்படி, இது தரவுகளை அழிக்கும் ஒரு மென்பொருளுக்கு மிகவும் நெருக்கமான செயல்பாட்டைக் கொண்டிருப்பது தெரியவந்துள்ளது. விண்டோஸ், லினக்ஸ் மற்றும் ESXi வகைகளில் உள்ள அதன் குறியாக்கச் செயலாக்கத்தில் இருக்கும் ஒரு கடுமையான குறைபாடு, இந்தத் தாக்குதல்களை நடத்துபவர்களால்கூட கோப்புகளை மீட்டெடுப்பதை சாத்தியமற்றதாக்குகிறது.
பெரும்பாலான நிறுவனங்களுக்கு மிக முக்கியமான தரவுகளை உள்ளடக்கிய 131 KB-க்கும் அதிகமான பெரிய கோப்புகளுக்கு, இந்த மால்வேர் மீட்கக்கூடிய குறியாக்கத்தை வழங்குவதில்லை. மாறாக, மீட்டெடுப்பிற்குத் தேவையான தரவுகளை அது நிரந்தரமாக அழித்துவிடுகிறது. இதன் விளைவாக, மீட்புத்தொகை செலுத்துவது தரவுகளை மீட்பதற்கு நடைமுறைக்குச் சாத்தியமான வழியை வழங்குவதில்லை.
எந்தவொரு VECT 2.0 சம்பவத்திலும், பேச்சுவார்த்தையை ஒரு சரிசெய்யும் உத்தியாகக் கருதக்கூடாது. வழங்குவதற்குச் செயல்படும் மறைகுறியாக்கி எதுவும் இல்லை, ஏனெனில் அதை உருவாக்குவதற்குத் தேவையான தகவல்கள் செயலாக்கத்தின் போதே நீக்கப்பட்டுவிடுகின்றன. பாதுகாப்பு முன்னுரிமைகள், ஆஃப்லைன் காப்புப்பிரதிகள், சரிபார்க்கப்பட்ட மீட்புத் திட்டங்கள், விரைவான கட்டுப்படுத்தல் மற்றும் வணிக மீள்திறன் ஆகியவற்றை மையமாகக் கொண்டிருக்க வேண்டும்.
பொருளடக்கம்
குற்றவியல் கூட்டாண்மைகளுடன் வளர்ந்து வரும் RaaS செயல்பாடு
VECT முதலில் டிசம்பர் 2025-இல் ஒரு சேவையாக மிரட்டிப் பணம் பறிக்கும் மென்பொருள் (RaaS) திட்டமாகத் தொடங்கப்பட்டது, பின்னர் VECT 2.0 என மறுபெயரிடப்பட்டது. அதன் டார்க் வெப் தளம் 'தரவுத் கசிவு / குறியாக்கம் / மிரட்டிப் பணம் பறித்தல்' என்ற மாதிரியை விளம்பரப்படுத்துகிறது, இது ஒரு மும்முனை மிரட்டிப் பணம் பறிக்கும் அணுகுமுறையைக் குறிக்கிறது.
புதிய உறுப்பினர்களிடம் $250 மோனெரோ (XMR) நுழைவுக் கட்டணம் வசூலிக்கப்படுவதாகக் கூறப்படுகிறது. இருப்பினும், சுதந்திர நாடுகளின் பொதுநலவாய (CIS) நாடுகளைச் சேர்ந்த விண்ணப்பதாரர்களுக்கு இதிலிருந்து விலக்கு அளிக்கப்பட்டுள்ளது, இது அந்தப் பிராந்தியத்திலிருந்து இலக்கு வைக்கப்பட்ட ஆட்சேர்ப்பு நடைபெறுவதைக் குறிக்கிறது.
இந்தக் குழு, BreachForums மற்றும் TeamPCP ஹேக்கிங் கூட்டமைப்புடனும் கூட்டாண்மைகளை ஏற்படுத்தியுள்ளது. இந்த ஒத்துழைப்பானது, ரான்சம்வேர் செயல்பாடுகளை எளிதாக்கவும், புதிய உறுப்பினர்களுக்கான தடைகளைக் குறைக்கவும், மேலும் தாக்குதல்களுக்காக ஏற்கனவே திருடப்பட்ட தரவுகளை ஆயுதமாக்கவும் வடிவமைக்கப்பட்டதாகத் தெரிகிறது.
விநியோகச் சங்கிலி அடையாளத் திருட்டு, ஒழுங்கமைக்கப்பட்ட துணை நிறுவனச் செயல்பாடுகள் மற்றும் மன்ற அடிப்படையிலான குற்றவியல் அணிதிரட்டல் ஆகியவற்றின் கலவையானது, பெருகிவரும் தொழில்மயமாக்கப்பட்ட ரான்சம்வேர் சூழலமைப்பைப் பிரதிபலிக்கிறது.
துணிச்சலான கூற்றுக்கள் இருந்தபோதிலும் பாதிக்கப்பட்டவர்களின் எண்ணிக்கை குறைவாகவே உள்ளது.
ஆக்ரோஷமான பிராண்டிங் இருந்தபோதிலும், VECT 2.0-இன் கசிவுத் தளம் இரண்டு பாதிக்கப்பட்டவர்களை மட்டுமே பட்டியலிடுவதாகக் கூறப்படுகிறது; அவர்கள் இருவரும் TeamPCP தொடர்பான விநியோகச் சங்கிலித் தாக்குதல்கள் மூலம் பாதிக்கப்பட்டதாகக் சொல்லப்படுகிறார்கள்.
அந்தக் குழு ஆரம்பத்தில், வலிமையான மற்றும் அங்கீகரிக்கப்பட்ட குறியாக்க முறையான ChaCha20-Poly1305 AEAD-ஐப் பயன்படுத்துவதாகக் கூறியது. இருப்பினும், தொழில்நுட்ப ஆய்வில், ஒருமைப்பாட்டுப் பாதுகாப்பு இல்லாத, பலவீனமான மற்றும் அங்கீகரிக்கப்படாத ஒரு குறியாக்க முறை பயன்படுத்தப்பட்டது கண்டறியப்பட்டது. இது அவர்களின் திறன் மற்றும் நம்பகத்தன்மை ஆகிய இரண்டின் மீதும் கடுமையான சந்தேகங்களை எழுப்பியது.
தரவை அழிக்கும் குறியாக்கத் தோல்வி
131,072 பைட்டுகளுக்கும் அதிகமான கோப்புகளை இந்த மால்வேர் கையாளும் விதத்தில்தான் அதன் மிக முக்கியமான குறைபாடு உள்ளது. மீட்கக்கூடிய தரவுகளைப் பாதுகாப்பாக மறைகுறியாக்கம் செய்வதற்குப் பதிலாக, அது ஒவ்வொரு பெரிய கோப்பையும் நான்கு பகுதிகளாகப் பிரித்து, தனித்தனியாகத் தோராயமாக உருவாக்கப்பட்ட 12-பைட் நான்ஸ்களைப் பயன்படுத்தி ஒவ்வொரு பகுதியையும் மறைகுறியாக்கம் செய்கிறது.
இறுதி நான்ஸ் மட்டுமே மறைகுறியாக்கப்பட்ட கோப்புடன் சேமிக்கப்படுகிறது. கோப்பின் பெரும்பகுதியை மறைகுறியாக்கம் செய்யத் தேவைப்படும் முதல் மூன்று நான்ஸ்கள் உருவாக்கப்பட்டு, ஒருமுறை பயன்படுத்தப்பட்டு, நிரந்தரமாக நிராகரிக்கப்படுகின்றன. அவை உள்ளூரில் சேமிக்கப்படுவதில்லை, பதிவகத்தில் எழுதப்படுவதில்லை, அல்லது இயக்குபவருக்கு அனுப்பப்படுவதில்லை.
ChaCha20-IETF முறைக்கு மறைகுறியாக்க நீக்கத்திற்கு சரியான 32-பைட் திறவுகோலும் அதனுடன் பொருந்தும் நான்ஸும் தேவைப்படுவதால், பாதிக்கப்பட்ட ஒவ்வொரு கோப்பின் முதல் முக்கால் பகுதி மீட்க முடியாததாகிவிடுகிறது. இதன் பொருள், VECT 2.0 ஆனது ரான்சம்வேர் செய்திகளுக்குப் பின்னால் மறைந்திருக்கும் ஒரு அழிவுகரமான அழிப்பானாகச் செயல்படுகிறது என்பதாகும்.
விண்டோஸ் பதிப்பு: மேம்பட்ட அம்சங்கள், பலவீனமான செயலாக்கம்
விண்டோஸ் பதிப்பு அதிக அம்சங்களைக் கொண்டது மற்றும் பின்வருவனவற்றை இலக்காகக் கொண்டுள்ளது:
- உள்ளூர் டிரைவ்கள், நீக்கக்கூடிய மீடியா மற்றும் அணுகக்கூடிய நெட்வொர்க் சேமிப்பகம்
- பகுப்பாய்வு எதிர்ப்புச் சோதனைகள் மூலம் 44 பாதுகாப்பு மற்றும் பிழைதிருத்தக் கருவிகள்
- பாதுகாப்பான பயன்முறை நிலைத்தன்மை வழிமுறைகள்
- பக்கவாட்டு இயக்கத்திற்கான தொலைநிலைச் செயலாக்க ஸ்கிரிப்ட் வார்ப்புருக்கள்
--force-safemode கட்டளையுடன் இயக்கப்படும்போது, அந்த தீம்பொருள் அடுத்த மறுதொடக்கம் விண்டோஸ் சேஃப் மோடுக்கு (Windows Safe Mode) அமைக்கிறது மற்றும் அதன் இயங்கு கோப்பின் பாதையை விண்டோஸ் ரெஜிஸ்ட்ரியில் (Windows Registry) சேர்க்கிறது. இதனால், மறுதொடக்கம் செய்யப்பட்ட பிறகு அது குறைந்த பாதுகாப்புள்ள சூழலில் தானாகவே இயங்குகிறது.
சுவாரஸ்யமாக, விண்டோஸ் பதிப்பில் சூழலைக் கண்டறிதல் மற்றும் தவிர்ப்பதற்கான வழிமுறைகள் இருந்தாலும், அந்தச் செயல்பாட்டுத் தொடர்கள் ஒருபோதும் அழைக்கப்படுவதில்லை என்று கூறப்படுகிறது. இது, மறைமுகமான எதிர்வினைகளைத் தூண்டாமல் மாதிரிகளைப் பகுப்பாய்வு செய்யப் பாதுகாப்பாளர்களுக்கு உதவக்கூடும்.
லினக்ஸ் மற்றும் ESXi வகைகள் அச்சுறுத்தலின் பரப்பளவை விரிவுபடுத்துகின்றன
ESXi பதிப்பானது குறியாக்கத்தைத் தொடங்குவதற்கு முன் புவிவேலியிடல் மற்றும் பிழைதிருத்தத் தடுப்புச் சோதனைகளை மேற்கொள்கிறது. மேலும், இது SSH வழியாக பக்கவாட்டு நகர்வையும் முயற்சிக்கிறது. லினக்ஸ் பதிப்பானது ESXi மாதிரியின் அதே மூலக்குறியீட்டைப் பகிர்ந்துகொள்கிறது, ஆனால் குறைவான திறன்களையே கொண்டுள்ளது.
இந்தப் பலதள ஆதரவானது, VECT 2.0-க்கு நிறுவனச் சூழல்களை, குறிப்பாக மெய்நிகராக்கம் மற்றும் கலப்பு இயக்க முறைமைகளைச் சார்ந்திருப்பவற்றை, பரந்த அளவில் இலக்கு வைக்கும் திறனை வழங்குகிறது.
அசாதாரணமான சிஐஎஸ் புவிவேலியிடல் கேள்விகளை எழுப்புகிறது
கணினிகளை மறைகுறியாக்கம் செய்வதற்கு முன்பு, அந்த தீம்பொருள் அது ஒரு CIS நாட்டில் இயங்குகிறதா என்று சரிபார்க்கிறது. அவ்வாறு இருந்தால், அதன் செயல்பாடு நின்றுவிடுகிறது. குறிப்பிடத்தக்க வகையில், இந்த விலக்குகளில் உக்ரைன் இன்னும் சேர்க்கப்பட்டுள்ளதாகக் கூறப்படுகிறது; 2022-க்குப் பிறகு பல ரான்சம்வேர் குழுக்கள் உக்ரைனை CIS விலக்கு பட்டியலிலிருந்து நீக்கியதால், இது ஒரு அசாதாரணமான செயலாகும்.
இரண்டு சாத்தியமான விளக்கங்கள் முன்மொழியப்பட்டுள்ளன:
அனுபவமற்ற ஆபரேட்டர்களின் அறிகுறிகள்
VECT 2.0, இணை நிறுவன ஆட்சேர்ப்பு, விநியோகச் சங்கிலி கூட்டாண்மைகள் மற்றும் தொழில்முறை பிராண்டிங் ஆகியவற்றுடன் கூடிய ஒரு செம்மையான பல-தள அச்சுறுத்தலாக தன்னை சந்தைப்படுத்திக் கொண்டாலும், அதன் தொழில்நுட்பச் செயலாக்கம் வேறுவிதமான கதையைச் சொல்கிறது.
பாதுகாப்பு மதிப்பீட்டின்படி, இதை இயக்குபவர்கள் அனுபவம் வாய்ந்த ரான்சம்வேர் உருவாக்குபவர்களை விட, புதிய அச்சுறுத்தல் செய்பவர்களாக இருப்பதற்கான வாய்ப்புகளே அதிகம். தீம்பொருளின் சில பகுதிகள் செயற்கை நுண்ணறிவால் உருவாக்கப்பட்ட குறியீட்டின் மூலம் தயாரிக்கப்பட்டிருக்கலாம் அல்லது அதற்கு உதவியிருக்கலாம் என்ற சாத்தியக்கூற்றை நிராகரிக்க முடியாது.
நிர்வாகப் பாதுகாப்பு ஆய்வு
ஆபத்தானதாகத் தோற்றமளிக்கும் ரான்சம்வேர் கூட தொழில்நுட்ப ரீதியாகக் குறைபாடுடையதாக இருக்க முடியும் என்பதை VECT 2.0 நிரூபிக்கிறது. அதன் உள்கட்டமைப்பு, கூட்டாண்மைகள் மற்றும் பிராண்டிங் ஆகியவை ஒரு தீவிரமான குற்ற நிறுவனத்தின் பிம்பத்தை உருவாக்குகின்றன, ஆனால் குறியாக்க வடிவமைப்புத் தோல்வியானது மிரட்டிப் பணம் பறிக்கும் மாதிரியை முற்றிலுமாகச் சீர்குலைக்கிறது.
பாதுகாப்பாளர்களுக்கான பாடம் தெளிவாக உள்ளது: மீள்திறன், காப்புப் பிரதிகள், பிரித்தல் மற்றும் விரைவான சம்பவப் பதிலளிப்பு ஆகியவற்றில் கவனம் செலுத்த வேண்டும். ஒரு VECT 2.0 தாக்குதலில், பணம் செலுத்துவதால் மீட்சியைப் பெற முடியாது; அது அழிவுக்குப் பின்னரே சாத்தியமாகும்.
