VECT 2.0 Fidye Yazılımı

Mezo'de Fidye yazılımı'de

Çevir:

VECT 2.0 olarak bilinen siber suç operasyonu, fidye yazılımı gibi görünse de, teknik analizler davranışının veri silme yazılımına çok daha yakın olduğunu göstermektedir. Windows, Linux ve ESXi varyantlarında şifreleme uygulamasındaki ciddi bir kusur, saldırıların arkasındaki operatörler için bile dosya kurtarmayı imkansız hale getirmektedir.

Çoğu kurumsal açıdan kritik veriyi içeren 131 KB'den büyük dosyalar için kötü amaçlı yazılım kurtarılabilir şifreleme sağlamaz. Bunun yerine, kurtarma için gerekli verileri kalıcı olarak yok eder. Sonuç olarak, fidye ödemesi kurtarma için gerçekçi bir yol sunmaz.

VECT 2.0 olaylarında müzakere, bir çözüm stratejisi olarak değerlendirilmemelidir. İşlevsel bir şifre çözücü sağlanamaz çünkü bunun oluşturulması için gereken bilgiler yürütme sırasında ortadan kaldırılır. Savunma öncelikleri çevrimdışı yedeklemeler, doğrulanmış kurtarma planları, hızlı müdahale ve iş sürekliliğine odaklanmalıdır.

İçindekiler

Suç Ortaklıklarıyla Büyüyen Bir RaaS Operasyonu

VECT, Aralık 2025'te fidye yazılımı hizmeti (RaaS) programı olarak piyasaya sürüldü ve o zamandan beri VECT 2.0 olarak yeniden markalandı. Karanlık web portalı, üçlü bir fidye talebi yaklaşımına işaret eden 'Veri Sızdırma / Şifreleme / Şantaj' modelini tanıtıyor.

Yeni üyelere 250 dolarlık Monero (XMR) giriş ücreti alındığı bildiriliyor. Ancak, Bağımsız Devletler Topluluğu (BDT) ülkelerinden başvuranlar bu ücretten muaf tutuluyor; bu da söz konusu bölgeden hedefli bir üye alımı yapıldığını gösteriyor.

Grup ayrıca BreachForums ve TeamPCP adlı hacker topluluğuyla da ortaklık kurdu. Bu iş birliğinin, fidye yazılımı operasyonlarını basitleştirmek, yeni üyelere yönelik engelleri azaltmak ve daha önce çalınan verileri daha fazla saldırı için silah haline getirmek amacıyla tasarlandığı görülüyor.

Tedarik zinciri kimlik bilgilerinin çalınması, organize iştirak faaliyetleri ve forum tabanlı suçlu seferberliğinin birleşimi, giderek sanayileşen bir fidye yazılımı ekosistemini yansıtıyor.

İddialara Rağmen Kurban Sayısı Düşük Kalmaya Devam Ediyor

Yoğun marka tanıtımına rağmen, VECT 2.0'ın sızıntı sitesinde yalnızca iki kurbanın listelendiği ve her ikisinin de TeamPCP ile bağlantılı tedarik zinciri saldırıları yoluyla tehlikeye düştüğü bildiriliyor.

Grup başlangıçta daha güçlü bir kimlik doğrulamalı şifreleme yöntemi olan ChaCha20-Poly1305 AEAD'yi kullandığını iddia etti. Ancak teknik inceleme, bütünlük korumasından yoksun, daha zayıf, kimlik doğrulaması yapılmamış bir şifreleme yönteminin kullanıldığını ortaya koyarak hem yetenek hem de güvenilirlik konusunda ciddi şüpheler uyandırdı.

Verileri Yok Eden Şifreleme Hatası

Bu kötü amaçlı yazılımın en kritik kusuru, 131.072 bayttan büyük dosyaları işleme biçiminde yatmaktadır. Kurtarılabilir verileri güvenli bir şekilde şifrelemek yerine, her büyük dosyayı dört parçaya bölüyor ve her bölümü ayrı ayrı rastgele oluşturulmuş 12 baytlık nonce'lar kullanarak şifreliyor.

Şifrelenmiş dosyayla birlikte yalnızca son nonce değeri saklanır. Dosyanın büyük bölümünün şifresini çözmek için gereken ilk üç nonce değeri oluşturulur, bir kez kullanılır ve kalıcı olarak atılır. Bunlar yerel olarak kaydedilmez, kayıt defterine yazılmaz veya operatöre gönderilmez.

ChaCha20-IETF yöntemi, şifre çözme için hem doğru 32 baytlık anahtarı hem de eşleşen nonce değerini gerektirdiğinden, etkilenen her dosyanın ilk üçte dörtlük kısmı kurtarılamaz hale gelir. Bu, VECT 2.0'ın fidye yazılımı mesajlarının arkasına gizlenmiş yıkıcı bir silme aracı olarak çalıştığı anlamına gelir.

Windows Sürümü: Gelişmiş Özellikler, Zayıf Performans

Windows sürümü en fazla özelliğe sahip olanıdır ve şu platformları hedeflemektedir:

Yerel sürücüler, çıkarılabilir medya ve erişilebilir ağ depolama birimleri
44 güvenlik ve hata ayıklama aracı, analiz karşıtı kontrollerden geçirilmiştir.
Güvenli Modda kalıcılık mekanizmaları
Yanal hareket için uzaktan yürütme komut dosyası şablonları

--force-safemode seçeneğiyle başlatıldığında, kötü amaçlı yazılım bir sonraki yeniden başlatmayı Windows Güvenli Modu'na yapılandırır ve yürütülebilir dosya yolunu Windows Kayıt Defteri'ne ekleyerek, yeniden başlatmanın ardından otomatik olarak düşük güvenlikli bir ortamda çalışmasını sağlar.

İlginç bir şekilde, Windows sürümü ortam algılama ve kaçınma mekanizmaları içermesine rağmen, bu rutinlerin hiçbir zaman çağrılmadığı bildiriliyor. Bu durum, savunmacıların gizli yanıtları tetiklemeden örnekleri analiz etmelerine olanak sağlayabilir.

Linux ve ESXi varyantları tehdit yüzeyini genişletiyor.

ESXi sürümü, şifrelemeye başlamadan önce coğrafi sınırlama ve hata ayıklama önleme kontrolleri gerçekleştirir. Ayrıca SSH üzerinden yatay hareket girişiminde bulunur. Linux varyantı, ESXi örneğiyle aynı kod tabanını paylaşır ancak daha az özelliğe sahiptir.

Bu platformlar arası destek, VECT 2.0'a özellikle sanallaştırmaya ve karma işletim sistemlerine dayanan kurumsal ortamlara karşı geniş bir hedefleme potansiyeli kazandırıyor.

Alışılmadık CIS Coğrafi Sınırlandırması Soru İşaretleri Ortaya Çıkarıyor

Kötü amaçlı yazılım, sistemleri şifrelemeden önce bir BDT ülkesinde çalışıp çalışmadığını kontrol eder. Eğer öyleyse, yürütme durur. Dikkat çekici bir şekilde, Ukrayna'nın hala bu istisnalar arasında yer aldığı bildiriliyor; bu, birçok fidye yazılımı grubunun 2022'den sonra Ukrayna'yı BDT istisna listelerinden çıkardığı göz önüne alındığında alışılmadık bir durum.

İki olası açıklama öne sürülmüştür:

Kötü amaçlı yazılımın kısmen, güncelliğini yitirmiş jeopolitik verilere dayalı olarak eğitilmiş yapay zeka modelleri kullanılarak oluşturulmuş olabileceği düşünülüyor.

Geliştiriciler, bölgesel mantığı güncellemeden eski bir fidye yazılımı kod tabanını yeniden kullanmış olabilirler.

Deneyimsiz Operatörlerin Belirtileri

VECT 2.0, bağlı kuruluş işe alımı, tedarik zinciri ortaklıkları ve profesyonel marka imajı ile kendini cilalanmış çok platformlu bir tehdit olarak pazarlasa da, teknik uygulama farklı bir hikaye anlatıyor.

Güvenlik değerlendirmesi, saldırganların deneyimli fidye yazılımı geliştiricilerinden ziyade acemi tehdit aktörleri olma olasılığının daha yüksek olduğunu göstermektedir. Kötü amaçlı yazılımın bazı bölümlerinin yapay zeka tarafından üretilmiş veya desteklenmiş olması ihtimali göz ardı edilemez.

Yönetici Güvenlik Değerlendirmesi

VECT 2.0, tehlikeli görünen fidye yazılımlarının teknik olarak nasıl kusurlu olabileceğini gösteriyor. Altyapısı, ortaklıkları ve marka imajı ciddi bir suç örgütü izlenimi yaratıyor, ancak şifreleme tasarımındaki başarısızlık, fidye alma modelini tamamen baltalıyor.

Savunmacılar için ders açık: dayanıklılığa, yedeklemelere, segmentasyona ve hızlı olay müdahalesine odaklanın. VECT 2.0 saldırısında ödeme, kurtarma sağlamaz, sadece yıkımın ardından gelir.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

VECT 2.0 Fidye Yazılımı

Suç Ortaklıklarıyla Büyüyen Bir RaaS Operasyonu

İddialara Rağmen Kurban Sayısı Düşük Kalmaya Devam Ediyor

Verileri Yok Eden Şifreleme Hatası

Windows Sürümü: Gelişmiş Özellikler, Zayıf Performans

Linux ve ESXi varyantları tehdit yüzeyini genişletiyor.

Alışılmadık CIS Coğrafi Sınırlandırması Soru İşaretleri Ortaya Çıkarıyor

Deneyimsiz Operatörlerin Belirtileri

Yönetici Güvenlik Değerlendirmesi

Yorum Gönder

trend

Payouts King fidye yazılımı

ZionSiphon Kötü Amaçlı Yazılımı

Elite Enterprise Fidye Yazılımı

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

Fuq.com