VECT 2.0 రాన్సమ్‌వేర్

VECT 2.0 అని పిలువబడే ఈ సైబర్ నేర కార్యకలాపం ర్యాన్సమ్‌వేర్‌గా కనబడుతుంది, కానీ సాంకేతిక విశ్లేషణలో దీని ప్రవర్తన డేటా వైపర్‌కు చాలా దగ్గరగా ఉన్నట్లు తేలింది. విండోస్, లైనక్స్ మరియు ESXi వేరియంట్‌లలో దీని ఎన్‌క్రిప్షన్ అమలులో ఉన్న ఒక తీవ్రమైన లోపం వల్ల, ఈ దాడుల వెనుక ఉన్న ఆపరేటర్లకు కూడా ఫైల్ రికవరీ అసాధ్యంగా మారింది.

చాలా వరకు ఎంటర్‌ప్రైజ్-క్లిష్టమైన డేటాను కలిగి ఉండే 131 KB కంటే పెద్ద ఫైల్‌ల కోసం, ఈ మాల్వేర్ పునరుద్ధరించగలిగే ఎన్‌క్రిప్షన్‌ను అందించదు. దానికి బదులుగా, అది పునరుద్ధరణకు అవసరమైన డేటాను శాశ్వతంగా నాశనం చేస్తుంది. ఫలితంగా, విమోచన క్రయధనం చెల్లించడం ద్వారా డేటాను తిరిగి పొందడానికి వాస్తవిక మార్గం ఏదీ ఉండదు.

ఏదైనా VECT 2.0 సంఘటనలో, సంప్రదింపులను ఒక పరిష్కార వ్యూహంగా పరిగణించకూడదు. అందించడానికి క్రియాత్మకమైన డీక్రిప్టర్ ఏదీ ఉండదు, ఎందుకంటే దానిని నిర్మించడానికి అవసరమైన సమాచారం అమలు సమయంలోనే తొలగించబడుతుంది. రక్షణ ప్రాధాన్యతలు ఆఫ్‌లైన్ బ్యాకప్‌లు, ధృవీకరించబడిన రికవరీ ప్రణాళికలు, వేగవంతమైన నియంత్రణ మరియు వ్యాపార స్థితిస్థాపకతపై కేంద్రీకరించబడాలి.

నేరపూరిత భాగస్వామ్యాలతో పెరుగుతున్న RaaS కార్యకలాపం

VECT మొదటగా డిసెంబర్ 2025లో రాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ (RaaS) ప్రోగ్రామ్‌గా ప్రారంభమైంది, ఆ తర్వాత VECT 2.0గా పేరు మార్చుకుంది. దీని డార్క్ వెబ్ పోర్టల్ 'ఎక్స్‌ఫిల్ట్రేషన్ / ఎన్‌క్రిప్షన్ / ఎక్స్‌టార్షన్' అనే నమూనాను ప్రచారం చేస్తూ, త్రివిధ దోపిడీ విధానాన్ని సూచిస్తుంది.

కొత్త అనుబంధ సంస్థల నుండి $250 మోనెరో (XMR) ప్రవేశ రుసుము వసూలు చేస్తున్నట్లు సమాచారం. అయితే, కామన్వెల్త్ ఆఫ్ ఇండిపెండెంట్ స్టేట్స్ (CIS) దేశాల నుండి దరఖాస్తు చేసుకునేవారికి మినహాయింపు ఉంది, ఇది ఆ ప్రాంతం నుండి లక్షిత నియామకాలను సూచిస్తుంది.

ఈ బృందం బ్రీచ్‌ఫోరమ్స్ మరియు టీమ్‌పీసీపీ హ్యాకింగ్ కలెక్టివ్‌తో కూడా భాగస్వామ్యాలను ఏర్పరచుకుంది. ఈ సహకారం రాన్సమ్‌వేర్ కార్యకలాపాలను సులభతరం చేయడానికి, కొత్త అనుబంధ సభ్యులకు అడ్డంకులను తగ్గించడానికి, మరియు గతంలో దొంగిలించిన డేటాను తదుపరి దాడుల కోసం ఆయుధంగా మార్చడానికి ఉద్దేశించినట్లుగా కనిపిస్తోంది.

సరఫరా గొలుసు ఆధారాల దొంగతనం, వ్యవస్థీకృత అనుబంధ కార్యకలాపాలు మరియు ఫోరమ్ ఆధారిత నేరపూరిత సమీకరణల కలయిక, అంతకంతకూ పారిశ్రామికీకరణ చెందుతున్న రాన్సమ్‌వేర్ పర్యావరణ వ్యవస్థను ప్రతిబింబిస్తుంది.

ధైర్యమైన వాదనలు చేసినప్పటికీ బాధితుల సంఖ్య తక్కువగానే ఉంది

తీవ్రమైన బ్రాండింగ్ ఉన్నప్పటికీ, VECT 2.0 యొక్క లీక్ సైట్‌లో ఇద్దరు బాధితుల పేర్లు మాత్రమే ఉన్నాయని, వారిద్దరూ TeamPCP-సంబంధిత సప్లై-చైన్ దాడుల ద్వారా ప్రభావితులయ్యారని నివేదికలు చెబుతున్నాయి.

ఆ బృందం మొదట్లో, మరింత బలమైన ప్రామాణీకరించబడిన ఎన్‌క్రిప్షన్ పద్ధతి అయిన ChaCha20-Poly1305 AEADను ఉపయోగిస్తున్నట్లు పేర్కొంది. అయితే, సాంకేతిక సమీక్షలో సమగ్రత రక్షణ లేని బలహీనమైన, ప్రామాణీకరించబడని సైఫర్‌ను ఉపయోగించినట్లు తేలింది. ఇది వారి సామర్థ్యం మరియు విశ్వసనీయత రెండింటిపైనా తీవ్రమైన సందేహాలను రేకెత్తించింది.

డేటాను నాశనం చేసే ఎన్‌క్రిప్షన్ వైఫల్యం

ఈ మాల్వేర్ యొక్క అత్యంత కీలకమైన లోపం, అది 131,072 బైట్‌ల కంటే పెద్ద ఫైల్‌లను ప్రాసెస్ చేసే విధానంలో ఉంది. పునరుద్ధరించగల డేటాను సురక్షితంగా ఎన్‌క్రిప్ట్ చేయడానికి బదులుగా, ఇది ప్రతి పెద్ద ఫైల్‌ను నాలుగు భాగాలుగా విభజించి, యాదృచ్ఛికంగా రూపొందించిన వేర్వేరు 12-బైట్ నాన్స్‌లను ఉపయోగించి ప్రతి విభాగాన్ని ఎన్‌క్రిప్ట్ చేస్తుంది.

ఎన్‌క్రిప్ట్ చేయబడిన ఫైల్‌తో చివరి నాన్స్ మాత్రమే నిల్వ చేయబడుతుంది. ఫైల్‌లోని అధిక భాగాన్ని డీక్రిప్ట్ చేయడానికి అవసరమైన మొదటి మూడు నాన్స్‌లు ఉత్పత్తి చేయబడి, ఒకసారి ఉపయోగించబడి, శాశ్వతంగా విస్మరించబడతాయి. అవి స్థానికంగా సేవ్ చేయబడవు, రిజిస్ట్రీకి వ్రాయబడవు, లేదా ఆపరేటర్‌కు పంపబడవు.

ChaCha20-IETF పద్ధతికి డీక్రిప్షన్ కోసం సరైన 32-బైట్ కీ మరియు దానికి సరిపోలే నాన్స్ రెండూ అవసరం కాబట్టి, ప్రభావితమైన ప్రతి ఫైల్‌లోని మొదటి ముప్పావు భాగం పునరుద్ధరించలేనిదిగా మారుతుంది. దీని అర్థం, VECT 2.0 అనేది రాన్సమ్‌వేర్ సందేశాల వెనుక దాగి ఉన్న ఒక విధ్వంసకర వైపర్‌గా కార్యాచరణపరంగా పనిచేస్తుంది.

విండోస్ వేరియంట్: అధునాతన ఫీచర్లు, బలహీనమైన పనితీరు

విండోస్ వెర్షన్ అత్యంత ఫీచర్-రిచ్‌గా ఉండి, వీటిని లక్ష్యంగా చేసుకుంటుంది:

• స్థానిక డ్రైవ్‌లు, తొలగించగల మీడియా మరియు అందుబాటులో ఉన్న నెట్‌వర్క్ నిల్వ
• యాంటీ-ఎనాలిసిస్ తనిఖీల ద్వారా 44 భద్రత మరియు డీబగ్గింగ్ సాధనాలు
• సురక్షిత మోడ్ కొనసాగింపు యంత్రాంగాలు
• పార్శ్వ కదలిక కోసం రిమోట్ ఎగ్జిక్యూషన్ స్క్రిప్ట్ టెంప్లేట్లు

--force-safemode తో ప్రారంభించినప్పుడు, ఈ మాల్వేర్ తదుపరి రీబూట్‌ను విండోస్ సేఫ్ మోడ్‌లోకి కాన్ఫిగర్ చేస్తుంది మరియు దాని ఎగ్జిక్యూటబుల్ పాత్‌ను విండోస్ రిజిస్ట్రీకి జోడిస్తుంది, తద్వారా అది రీస్టార్ట్ తర్వాత తక్కువ-భద్రతా వాతావరణంలో స్వయంచాలకంగా రన్ అవుతుంది.

ఆసక్తికరంగా, విండోస్ వేరియంట్‌లో పరిసరాలను గుర్తించే మరియు తప్పించుకునే యంత్రాంగాలు ఉన్నప్పటికీ, ఆ రొటీన్‌లు ఎప్పుడూ పిలవబడవని నివేదించబడింది. ఇది స్టీల్త్ ప్రతిస్పందనలను ప్రేరేపించకుండానే రక్షకులు నమూనాలను విశ్లేషించడానికి అనుమతించవచ్చు.

లినక్స్ మరియు ESXi వేరియంట్లు ముప్పును పెంచుతున్నాయి

ESXi వెర్షన్ ఎన్‌క్రిప్షన్ ప్రారంభించే ముందు జియోఫెన్సింగ్ మరియు యాంటీ-డీబగ్గింగ్ తనిఖీలను నిర్వహిస్తుంది. ఇది SSH ద్వారా లాటరల్ మూవ్‌మెంట్‌ను కూడా ప్రయత్నిస్తుంది. లైనక్స్ వేరియంట్ ESXi నమూనాతో అదే కోడ్‌బేస్‌ను పంచుకుంటుంది, కానీ తక్కువ సామర్థ్యాలను కలిగి ఉంటుంది.

ఈ క్రాస్-ప్లాట్‌ఫారమ్ మద్దతు, ముఖ్యంగా వర్చువలైజేషన్ మరియు మిశ్రమ ఆపరేటింగ్ సిస్టమ్‌లపై ఆధారపడిన ఎంటర్‌ప్రైజ్ వాతావరణాలను లక్ష్యంగా చేసుకోవడానికి VECT 2.0కు విస్తృత సామర్థ్యాన్ని అందిస్తుంది.

అసాధారణమైన CIS జియోఫెన్సింగ్ ప్రశ్నలను లేవనెత్తుతోంది

సిస్టమ్‌లను ఎన్‌క్రిప్ట్ చేసే ముందు, మాల్వేర్ తాను CIS దేశంలో నడుస్తోందో లేదో తనిఖీ చేస్తుంది. ఒకవేళ అలా అయితే, అమలు ఆగిపోతుంది. ముఖ్యంగా, ఈ మినహాయింపులలో ఉక్రెయిన్ ఇప్పటికీ చేర్చబడిందని నివేదికలు చెబుతున్నాయి. 2022 తర్వాత అనేక రాన్సమ్‌వేర్ గ్రూపులు ఉక్రెయిన్‌ను CIS మినహాయింపు జాబితాల నుండి తొలగించినందున ఇది ఒక అసాధారణమైన ప్రవర్తన.

రెండు సంభావ్య వివరణలు ప్రతిపాదించబడ్డాయి:

అనుభవం లేని ఆపరేటర్ల సంకేతాలు

VECT 2.0 తనను తాను అనుబంధ నియామకాలు, సరఫరా-గొలుసు భాగస్వామ్యాలు మరియు వృత్తిపరమైన బ్రాండింగ్‌తో కూడిన ఒక సుసంపన్నమైన బహుళ-ప్లాట్‌ఫారమ్ ముప్పుగా ప్రచారం చేసుకుంటున్నప్పటికీ, దాని సాంకేతిక అమలు మాత్రం వేరే కథను చెబుతోంది.

భద్రతా మదింపు ప్రకారం, ఈ ఆపరేటర్లు అనుభవజ్ఞులైన రాన్సమ్‌వేర్ డెవలపర్‌ల కంటే, కొత్తగా ముప్పు కలిగించేవారే అయ్యే అవకాశం ఎక్కువగా ఉంది. మాల్‌వేర్‌లోని కొన్ని భాగాలను ఏఐ (AI) రూపొందించిన కోడ్ ద్వారా తయారు చేసి ఉండవచ్చు లేదా దాని సహాయంతో జరిగి ఉండవచ్చు అనే అవకాశాన్ని కొట్టిపారేయలేము.

కార్యనిర్వాహక భద్రతా అంచనా

ప్రమాదకరంగా కనిపించే రాన్సమ్‌వేర్ కూడా సాంకేతికంగా లోపభూయిష్టంగా ఎలా ఉండగలదో VECT 2.0 నిరూపిస్తుంది. దాని మౌలిక సదుపాయాలు, భాగస్వామ్యాలు మరియు బ్రాండింగ్ ఒక తీవ్రమైన నేర సంస్థ అనే ప్రతిబింబాన్ని సృష్టిస్తాయి, కానీ ఎన్‌క్రిప్షన్ రూపకల్పనలోని వైఫల్యం దోపిడీ నమూనాని పూర్తిగా దెబ్బతీస్తుంది.

రక్షకులకు గుణపాఠం స్పష్టంగా ఉంది: స్థితిస్థాపకత, బ్యాకప్‌లు, విభజన మరియు వేగవంతమైన సంఘటన ప్రతిస్పందనపై దృష్టి పెట్టండి. VECT 2.0 దాడిలో, డబ్బు చెల్లించడం ద్వారా పునరుద్ధరణ సాధ్యం కాదు, అది కేవలం విధ్వంసం తర్వాత మాత్రమే వస్తుంది.