Multi-License Discount Quote
Banta sa Database Ransomware VECT 2.0 Ransomware

VECT 2.0 Ransomware

Sa pamamagitan ng Mezo sa Ransomware
Isalin To:

Ang operasyong cybercriminal na kilala bilang VECT 2.0 ay nagpapakita ng sarili bilang ransomware, ngunit ang teknikal na pagsusuri ay nagpapakita ng pag-uugali na mas malapit sa isang data wiper. Ang isang matinding depekto sa pagpapatupad ng encryption nito sa mga variant ng Windows, Linux, at ESXi ay ginagawang imposible ang pagbawi ng file, kahit para sa mga operator sa likod ng mga pag-atake.

Para sa mga file na mas malaki sa 131 KB, na kinabibilangan ng karamihan sa mga kritikal na datos para sa negosyo, ang malware ay hindi nagbibigay ng maaaring mabawi na encryption. Sa halip, permanente nitong sinisira ang datos na kailangan para sa pagpapanumbalik. Bilang resulta, ang pagbabayad ng ransom ay hindi nag-aalok ng makatotohanang landas sa pagbawi.

Sa anumang insidente ng VECT 2.0, ang negosasyon ay hindi dapat ituring na isang estratehiya sa remediation. Walang gumaganang decryptor na maihahatid dahil ang impormasyong kinakailangan upang makabuo nito ay inaalis habang isinasagawa. Ang mga prayoridad sa pagtatanggol ay dapat na nakasentro sa mga offline na backup, napatunayang mga plano sa pagbawi, mabilis na pagpigil, at katatagan ng negosyo.

Isang Lumalagong Operasyon ng RaaS kasama ang mga Pakikipagsosyo sa Kriminal

Ang VECT ay orihinal na inilunsad bilang isang programang Ransomware-as-a-Service (RaaS) noong Disyembre 2025 at mula noon ay binago ang tatak bilang VECT 2.0. Inilalathala ng dark web portal nito ang modelong 'Exfiltration / Encryption / Extortion,' na hudyat ng isang triple-extortion na pamamaraan.

Ang mga bagong kaakibat ay naiulat na sinisingil ng $250 na bayad sa pagpasok sa Monero (XMR). Gayunpaman, ang mga aplikante mula sa mga bansang Commonwealth of Independent States (CIS) ay hindi kasama, na nagmumungkahi ng naka-target na recruitment mula sa rehiyong iyon.

Ang grupo ay nakipagsosyo rin sa BreachForums at sa TeamPCP hacking collective. Ang kooperasyong ito ay tila idinisenyo upang gawing simple ang mga operasyon ng ransomware, bawasan ang mga hadlang para sa mga bagong kaakibat, at gamitin ang dating ninakaw na data para sa karagdagang mga pag-atake.

Ang kombinasyon ng pagnanakaw ng kredensyal sa supply-chain, organisadong operasyon ng kaakibat, at pagpapakilos ng kriminal na nakabatay sa forum ay sumasalamin sa isang lalong industriyalisadong ecosystem ng ransomware.

Nananatiling Mababa ang Bilang ng Biktima sa Kabila ng mga Matapang na Pag-aangkin

Sa kabila ng agresibong branding, ang leak site ng VECT 2.0 ay naiulat na naglilista lamang ng dalawang biktima, na parehong umano'y nakompromiso sa pamamagitan ng mga pag-atake sa supply-chain na may kaugnayan sa TeamPCP.

Noong una, inangkin ng grupo na gumagamit sila ng ChaCha20-Poly1305 AEAD, isang mas malakas na paraan ng authenticated encryption. Gayunpaman, natuklasan sa teknikal na pagsusuri na ang paggamit ng mas mahina at hindi authenticated cipher ay kulang sa proteksyon sa integridad, na nagdulot ng malubhang pagdududa tungkol sa kakayahan at kredibilidad.

Ang Pagkabigo sa Encryption na Sumisira sa Data

Ang pinakamahalagang depekto ng malware ay nasa kung paano nito pinoproseso ang mga file na mas malaki sa 131,072 bytes. Sa halip na ligtas na i-encrypt ang mga mababawi na data, hinahati nito ang bawat malaking file sa apat na bahagi at ine-encrypt ang bawat seksyon gamit ang magkakahiwalay na random na nabuong 12-byte na mga nonce.

Tanging ang huling nonce lamang ang iniimbak kasama ng naka-encrypt na file. Ang unang tatlong nonce, na kinakailangan upang i-decrypt ang karamihan ng file, ay nabubuo, ginagamit nang isang beses, at permanenteng itinatapon. Hindi ito sine-save nang lokal, isinusulat sa registry, o ipinapadala sa operator.

Dahil ang pamamaraang ChaCha20-IETF ay nangangailangan ng parehong tamang 32-byte na susi at ang katugmang nonce para sa decryption, ang unang tatlong-kapat ng bawat apektadong file ay hindi na mababawi. Nangangahulugan ito na ang VECT 2.0 ay gumagana bilang isang mapanirang wiper na nakatago sa likod ng mga mensahe ng ransomware.

Variant ng Windows: Mga Advanced na Tampok, Mahinang Pagpapatupad

Ang bersyon ng Windows ang pinaka-mayaman sa mga tampok at target ang:

  • Mga lokal na drive, naaalis na media, at naa-access na imbakan ng network
  • 44 na tool sa seguridad at pag-debug sa pamamagitan ng mga pagsusuring anti-analysis
  • Mga mekanismo ng pagtitiyaga sa Safe Mode
  • Mga template ng script para sa remote execution para sa lateral movement

Kapag inilunsad gamit ang --force-safemode, kino-configure ng malware ang susunod na pag-reboot sa Windows Safe Mode at idinaragdag ang executable path nito sa Windows Registry para awtomatiko itong tumakbo pagkatapos mag-restart sa isang reduced-security environment.

Kapansin-pansin, bagama't ang variant ng Windows ay naglalaman ng mga mekanismo ng pagtuklas at pag-iwas sa kapaligiran, ang mga routine na iyon ay naiulat na hindi kailanman tinatawag. Maaari nitong payagan ang mga tagapagtanggol na suriin ang mga sample nang hindi nagti-trigger ng mga stealth response.

Pinalalawak ng mga Variant ng Linux at ESXi ang Ibabaw ng Banta

Ang bersyong ESXi ay nagsasagawa ng mga geofencing at anti-debugging check bago simulan ang encryption. Sinusubukan din nito ang lateral movement sa pamamagitan ng SSH. Ang variant ng Linux ay may parehong codebase gaya ng sample ng ESXi ngunit may mas kaunting kakayahan.

Ang suportang ito sa iba't ibang platform ay nagbibigay sa VECT 2.0 ng malawak na potensyal sa pag-target laban sa mga kapaligiran ng negosyo, lalo na sa mga umaasa sa virtualization at halo-halong operating system.

Ang Hindi Pangkaraniwang CIS Geofencing ay Nagbubunsod ng mga Tanong

Bago i-encrypt ang mga sistema, sinusuri ng malware kung tumatakbo ito sa isang bansang CIS. Kung gayon, humihinto ang pagpapatupad. Kapansin-pansin, ang Ukraine ay naiulat na kasama pa rin sa mga pagbubukod na ito, isang hindi pangkaraniwang pag-uugali dahil maraming grupo ng ransomware ang nag-alis ng Ukraine mula sa mga listahan ng exemption ng CIS pagkatapos ng 2022.

Dalawang posibleng paliwanag ang iminungkahi:

  • Ang malware ay maaaring bahagyang nabuo gamit ang mga modelo ng AI na sinanay sa luma nang datos na geopolitical.
  • Maaaring ginamit muli ng mga developer ang isang mas lumang codebase ng ransomware nang hindi ina-update ang rehiyonal na lohika

    • Mga Palatandaan ng mga Walang Karanasang Operator

    Bagama't ibinebenta ng VECT 2.0 ang sarili bilang isang mahusay na banta sa maraming plataporma na may kasamang affiliate recruitment, supply-chain partnerships, at professional branding, ang teknikal na pagpapatupad ay nagsasabi ng ibang kwento.

    Ipinahihiwatig ng pagtatasa sa seguridad na ang mga operator ay mas malamang na mga baguhang aktor ng banta kaysa sa mga batikang developer ng ransomware. Hindi maaaring isantabi ang posibilidad na ang mga bahagi ng malware ay ginawa o tinulungan ng AI-generated code.

    Pagtatasa ng Seguridad ng Ehekutibo

    Ipinapakita ng VECT 2.0 kung gaano pa rin kadepekto sa teknikal ang mukhang mapanganib na ransomware. Ang imprastraktura, pakikipagsosyo, at branding nito ay lumilikha ng imahe ng isang seryosong kriminal na negosyo, ngunit ang pagkabigo sa disenyo ng encryption ay lubos na nagpapahina sa modelo ng pangingikil.

    Para sa mga tagapagtanggol, malinaw ang aral: magtuon sa katatagan, mga backup, segmentasyon, at mabilis na pagtugon sa insidente. Sa isang VECT 2.0 na pag-atake, ang pagbabayad ay hindi bumibili ng pagbangon, kasunod lamang nito ang pagkawasak.

    Trending

    Pinaka Nanood

    Naglo-load...