แรนซัมแวร์ VECT 2.0
ปฏิบัติการอาชญากรไซเบอร์ที่รู้จักกันในชื่อ VECT 2.0 ปลอมตัวเป็นแรนซอมแวร์ แต่การวิเคราะห์ทางเทคนิคแสดงให้เห็นพฤติกรรมที่ใกล้เคียงกับการลบข้อมูลมากกว่า ข้อบกพร่องร้ายแรงในการเข้ารหัสข้อมูลบนระบบปฏิบัติการ Windows, Linux และ ESXi ทำให้การกู้คืนไฟล์เป็นไปไม่ได้ แม้แต่สำหรับผู้โจมตีเองก็ตาม
สำหรับไฟล์ที่มีขนาดใหญ่กว่า 131 KB ซึ่งรวมถึงข้อมูลสำคัญขององค์กรส่วนใหญ่ มัลแวร์นี้จะไม่ทำการเข้ารหัสเพื่อกู้คืนข้อมูล แต่จะทำลายข้อมูลที่จำเป็นสำหรับการกู้คืนอย่างถาวร ส่งผลให้การจ่ายค่าไถ่ไม่ใช่ทางออกที่สมจริงสำหรับการกู้คืนข้อมูล
ในการเกิดเหตุการณ์ VECT 2.0 การเจรจาต่อรองไม่ควรถูกพิจารณาว่าเป็นกลยุทธ์ในการแก้ไขปัญหา เนื่องจากไม่มีตัวถอดรหัสที่ใช้งานได้จริง เพราะข้อมูลที่จำเป็นในการสร้างตัวถอดรหัสถูกกำจัดไปในระหว่างการทำงานแล้ว ลำดับความสำคัญในการป้องกันควรเน้นไปที่การสำรองข้อมูลแบบออฟไลน์ แผนการกู้คืนที่ได้รับการตรวจสอบแล้ว การควบคุมอย่างรวดเร็ว และความยืดหยุ่นทางธุรกิจ
สารบัญ
ธุรกิจ RaaS ที่กำลังเติบโตพร้อมความร่วมมือกับกลุ่มอาชญากร
VECT เปิดตัวครั้งแรกในฐานะโปรแกรม Ransomware-as-a-Service (RaaS) ในเดือนธันวาคม 2025 และได้เปลี่ยนชื่อเป็น VECT 2.0 ในเวลาต่อมา พอร์ทัลบนเว็บมืดของ VECT โฆษณาโมเดล 'การขโมยข้อมูล / การเข้ารหัส / การกรรโชก' ซึ่งบ่งชี้ถึงวิธีการกรรโชกแบบสามขั้นตอน
มีรายงานว่าสมาชิกใหม่จะต้องชำระค่าธรรมเนียมแรกเข้า 250 ดอลลาร์สหรัฐ (ในรูปของ Monero (XMR)) อย่างไรก็ตาม ผู้สมัครจากประเทศในเครือรัฐเอกราช (CIS) ได้รับการยกเว้น ซึ่งบ่งชี้ว่าเป็นการมุ่งเป้าไปที่การสรรหาสมาชิกจากภูมิภาคดังกล่าว
กลุ่มนี้ยังได้ร่วมมือกับ BreachForums และกลุ่มแฮ็กเกอร์ TeamPCP ด้วย ความร่วมมือนี้ดูเหมือนจะออกแบบมาเพื่อลดความซับซ้อนในการปฏิบัติการโจมตีด้วยแรนซัมแวร์ ลดอุปสรรคสำหรับพันธมิตรรายใหม่ และใช้ข้อมูลที่ถูกขโมยไปแล้วเป็นอาวุธสำหรับการโจมตีเพิ่มเติม
การผสมผสานระหว่างการขโมยข้อมูลประจำตัวในห่วงโซ่อุปทาน การดำเนินงานของกลุ่มพันธมิตรที่เป็นระบบ และการระดมกำลังอาชญากรผ่านฟอรัม สะท้อนให้เห็นถึงระบบนิเวศของแรนซอมแวร์ที่มีลักษณะเป็นอุตสาหกรรมมากขึ้นเรื่อยๆ
จำนวนผู้เสียชีวิตยังคงต่ำ แม้จะมีคำกล่าวอ้างที่เกินจริงก็ตาม
แม้จะมีการสร้างแบรนด์ที่ดุดัน แต่เว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลของ VECT 2.0 กลับระบุว่ามีผู้เสียหายเพียงสองรายเท่านั้น ซึ่งทั้งสองรายถูกกล่าวหาว่าได้รับผลกระทบจากการโจมตีผ่านห่วงโซ่อุปทานที่เกี่ยวข้องกับ TeamPCP
ในตอนแรก กลุ่มดังกล่าวอ้างว่าใช้ ChaCha20-Poly1305 AEAD ซึ่งเป็นวิธีการเข้ารหัสแบบตรวจสอบความถูกต้องที่แข็งแกร่งกว่า อย่างไรก็ตาม การตรวจสอบทางเทคนิคพบว่ามีการใช้การเข้ารหัสแบบไม่ตรวจสอบความถูกต้องที่อ่อนแอกว่าและขาดการป้องกันความสมบูรณ์ ทำให้เกิดข้อสงสัยอย่างร้ายแรงเกี่ยวกับทั้งความสามารถและความน่าเชื่อถือ
ความล้มเหลวในการเข้ารหัสที่ทำลายข้อมูล
จุดอ่อนที่ร้ายแรงที่สุดของมัลแวร์นี้อยู่ที่วิธีการประมวลผลไฟล์ที่มีขนาดใหญ่กว่า 131,072 ไบต์ แทนที่จะเข้ารหัสข้อมูลที่สามารถกู้คืนได้อย่างปลอดภัย มันจะแบ่งไฟล์ขนาดใหญ่แต่ละไฟล์ออกเป็นสี่ส่วน และเข้ารหัสแต่ละส่วนโดยใช้ค่า nonce ขนาด 12 ไบต์ที่สร้างขึ้นแบบสุ่มแยกกัน
เฉพาะค่า nonce สุดท้ายเท่านั้นที่จะถูกจัดเก็บไว้กับไฟล์ที่เข้ารหัส ค่า nonce สามค่าแรก ซึ่งจำเป็นต่อการถอดรหัสไฟล์ส่วนใหญ่ จะถูกสร้างขึ้น ใช้เพียงครั้งเดียว และถูกลบทิ้งอย่างถาวร โดยจะไม่ถูกบันทึกไว้ในเครื่อง เขียนลงในรีจิสทรี หรือส่งไปยังผู้ใช้งาน
เนื่องจากวิธีการ ChaCha20-IETF ต้องการทั้งคีย์ 32 ไบต์ที่ถูกต้องและค่า nonce ที่ตรงกันสำหรับการถอดรหัส ทำให้ส่วนสามในสี่ส่วนแรกของไฟล์ที่ได้รับผลกระทบแต่ละไฟล์ไม่สามารถกู้คืนได้ ซึ่งหมายความว่า VECT 2.0 ทำงานในลักษณะของการทำลายล้างที่ซ่อนอยู่เบื้องหลังข้อความเรียกค่าไถ่
เวอร์ชัน Windows: คุณสมบัติขั้นสูง แต่ประสิทธิภาพการทำงานค่อนข้างต่ำ
เวอร์ชัน Windows มีฟีเจอร์ครบครันที่สุดและเหมาะสำหรับ:
- ไดรฟ์ภายในเครื่อง สื่อบันทึกข้อมูลแบบถอดได้ และพื้นที่จัดเก็บข้อมูลเครือข่ายที่เข้าถึงได้
- เครื่องมือรักษาความปลอดภัยและแก้ไขข้อผิดพลาด 44 รายการ ผ่านการตรวจสอบการป้องกันการวิเคราะห์
- กลไกการคงอยู่ในโหมดปลอดภัย
- เทมเพลตสคริปต์การเรียกใช้งานระยะไกลสำหรับการเคลื่อนที่ด้านข้าง
เมื่อเรียกใช้งานด้วยคำสั่ง --force-safemode มัลแวร์จะตั้งค่าการรีบูตครั้งถัดไปให้เข้าสู่โหมดปลอดภัยของ Windows และเพิ่มพาธของไฟล์ปฏิบัติการลงในรีจิสทรีของ Windows เพื่อให้มันทำงานโดยอัตโนมัติหลังจากรีสตาร์ทในสภาพแวดล้อมที่มีความปลอดภัยลดลง
ที่น่าสนใจคือ แม้ว่าเวอร์ชัน Windows จะมีกลไกการตรวจจับและการหลบเลี่ยงสภาพแวดล้อม แต่มีรายงานว่ารูทีนเหล่านั้นไม่เคยถูกเรียกใช้เลย ซึ่งอาจทำให้ผู้ป้องกันสามารถวิเคราะห์ตัวอย่างได้โดยไม่กระตุ้นการตอบสนองแบบซ่อนเร้น
ระบบปฏิบัติการ Linux และ ESXi เวอร์ชันต่างๆ เพิ่มความเสี่ยงด้านความปลอดภัย
เวอร์ชัน ESXi จะทำการตรวจสอบการกำหนดขอบเขตทางภูมิศาสตร์และการป้องกันการดีบักก่อนเริ่มการเข้ารหัส นอกจากนี้ยังพยายามเคลื่อนย้ายไปยังเครือข่ายอื่นผ่าน SSH ด้วย เวอร์ชัน Linux ใช้โค้ดเบสเดียวกันกับตัวอย่าง ESXi แต่มีฟังก์ชันการทำงานน้อยกว่า
การรองรับหลายแพลตฟอร์มนี้ทำให้ VECT 2.0 มีศักยภาพในการเข้าถึงกลุ่มเป้าหมายได้อย่างกว้างขวางในสภาพแวดล้อมขององค์กร โดยเฉพาะอย่างยิ่งองค์กรที่พึ่งพาการจำลองเสมือนและระบบปฏิบัติการแบบผสมผสาน
การกำหนดขอบเขตทางภูมิศาสตร์แบบ CIS ที่ผิดปกติก่อให้เกิดคำถาม
ก่อนที่จะเข้ารหัสระบบ มัลแวร์จะตรวจสอบว่ากำลังทำงานอยู่ในประเทศกลุ่ม CIS หรือไม่ หากใช่ การทำงานจะหยุดลง ที่น่าสังเกตคือ มีรายงานว่ายูเครนยังคงอยู่ในรายชื่อประเทศที่ได้รับการยกเว้น ซึ่งเป็นพฤติกรรมที่ผิดปกติ เนื่องจากกลุ่มแรนซัมแวร์หลายกลุ่มได้ถอดยูเครนออกจากรายชื่อประเทศที่ได้รับการยกเว้นในกลุ่ม CIS หลังจากปี 2022 แล้ว
มีการเสนอคำอธิบายที่เป็นไปได้สองประการ:
สัญญาณบ่งบอกว่าผู้ปฏิบัติงานไม่มีประสบการณ์
แม้ว่า VECT 2.0 จะทำการตลาดตัวเองว่าเป็นภัยคุกคามบนหลายแพลตฟอร์มที่มีประสิทธิภาพสูง พร้อมด้วยระบบสรรหาพันธมิตร การสร้างความร่วมมือในห่วงโซ่อุปทาน และการสร้างแบรนด์อย่างมืออาชีพ แต่การดำเนินการทางเทคนิคกลับบอกเล่าเรื่องราวที่แตกต่างออกไป
การประเมินด้านความปลอดภัยชี้ให้เห็นว่าผู้ก่อเหตุมีแนวโน้มที่จะเป็นผู้โจมตีมือใหม่มากกว่านักพัฒนาแรนซัมแวร์ที่มีประสบการณ์ ความเป็นไปได้ที่บางส่วนของมัลแวร์ถูกสร้างขึ้นหรือได้รับความช่วยเหลือจากโค้ดที่สร้างโดยปัญญาประดิษฐ์ (AI) ก็ยังไม่สามารถตัดทิ้งได้
การประเมินความปลอดภัยของผู้บริหาร
VECT 2.0 แสดงให้เห็นว่ามัลแวร์เรียกค่าไถ่ที่ดูอันตรายนั้นยังคงมีข้อบกพร่องทางเทคนิคได้ โครงสร้างพื้นฐาน ความร่วมมือ และการสร้างแบรนด์สร้างภาพลักษณ์ขององค์กรอาชญากรรมที่ร้ายแรง แต่ความล้มเหลวในการออกแบบการเข้ารหัสกลับบ่อนทำลายรูปแบบการเรียกค่าไถ่โดยสิ้นเชิง
สำหรับฝ่ายป้องกัน บทเรียนนั้นชัดเจน: มุ่งเน้นไปที่ความยืดหยุ่น การสำรองข้อมูล การแบ่งส่วน และการตอบสนองต่อเหตุการณ์อย่างรวดเร็ว ในการโจมตี VECT 2.0 การจ่ายเงินไม่ได้ซื้อการกู้คืน แต่จะเกิดขึ้นก็ต่อเมื่อเกิดความเสียหายขึ้นเท่านั้น
