Знижка на кілька ліцензій
База даних загроз програми-вимагачі Програма-вимагач VECT 2.0

Програма-вимагач VECT 2.0

До Mezo року в програми-вимагачі році
Перекласти на:

Кіберзлочинна операція, відома як VECT 2.0, позиціонує себе як програму-вимагач, проте технічний аналіз показує поведінку, набагато ближчу до дії стирання даних. Серйозний недолік у реалізації шифрування у версіях Windows, Linux та ESXi робить відновлення файлів неможливим навіть для операторів, які стоять за атаками.

Для файлів розміром понад 131 КБ, що включає більшість критично важливих для підприємства даних, шкідливе програмне забезпечення не забезпечує відновлюваного шифрування. Натомість воно безповоротно знищує дані, необхідні для відновлення. Як наслідок, виплата викупу не пропонує реального шляху до відновлення.

У будь-якому інциденті VECT 2.0 переговори не слід розглядати як стратегію відновлення. Немає функціонального дешифратора, який потрібно надавати, оскільки інформація, необхідна для його створення, видаляється під час виконання. Пріоритети захисту повинні зосереджуватися на офлайн-резервному копіюванні, перевірених планах відновлення, швидкому стримуванні та стійкості бізнесу.

Зростаюча операція RaaS зі злочинними партнерствами

VECT спочатку була запущена як програма «вимагач як послуга» (RaaS) у грудні 2025 року, а з того часу була перейменована на VECT 2.0. Її портал даркнету рекламує модель «Вилучення / Шифрування / Вимагання», що сигналізує про потрійний підхід до вимагання.

За повідомленнями, з нових партнерів стягується вступний внесок у розмірі 250 доларів США в Monero (XMR). Однак заявники з країн Співдружності Незалежних Держав (СНД) звільнені від цього, що свідчить про цілеспрямований набір персоналу з цього регіону.

Група також уклала партнерські відносини з BreachForums та хакерським колективом TeamPCP. Ця співпраця, схоже, спрямована на спрощення операцій із програмами-вимагачами, зниження бар'єрів для нових партнерів та використання раніше викрадених даних як зброї для подальших атак.

Поєднання крадіжки облікових даних у ланцюжку поставок, організованих партнерських операцій та мобілізації злочинців на форумах відображає дедалі більш індустріалізовану екосистему програм-вимагачів.

Кількість жертв залишається низькою, попри сміливі заяви

Незважаючи на агресивний брендинг, на сайті витоків VECT 2.0, як повідомляється, перелічено лише двох жертв, обидві нібито були скомпрометовані через атаки на ланцюг поставок, пов'язані з TeamPCP.

Спочатку група стверджувала, що використовує ChaCha20-Poly1305 AEAD, надійніший метод автентифікованого шифрування. Однак технічна перевірка виявила використання слабшого неавтентифікованого шифру, якому бракувало захисту цілісності, що викликало серйозні сумніви як щодо його можливостей, так і щодо його достовірності.

Збій шифрування, який знищує дані

Найкритичніший недолік шкідливого програмного забезпечення полягає в тому, як воно обробляє файли розміром понад 131 072 байти. Замість безпечного шифрування відновлюваних даних, воно розділяє кожен великий файл на чотири фрагменти та шифрує кожну секцію за допомогою окремих випадково згенерованих 12-байтових одноразових номерів.

Лише останній одноразовий номер зберігається разом із зашифрованим файлом. Перші три одноразові номери, необхідні для розшифрування більшої частини файлу, генеруються, використовуються один раз і видаляються назавжди. Вони не зберігаються локально, не записуються в реєстр і не надсилаються оператору.

Оскільки метод ChaCha20-IETF вимагає як правильного 32-байтового ключа, так і відповідного одноразового номера для розшифрування, перші три чверті кожного ураженого файлу стають невідновними. Це означає, що VECT 2.0 функціонує як деструктивний склоочисник, прихований за повідомленнями програм-вимагачів.

Варіант Windows: розширені функції, слабке виконання

Версія для Windows є найбільш багатофункціональною та орієнтована на:

  • Локальні диски, знімні носії та доступне мережеве сховище
  • 44 інструменти безпеки та налагодження за допомогою перевірок на антианаліз
  • Механізми збереження безпечного режиму
  • Шаблони сценаріїв віддаленого виконання для горизонтального переміщення

При запуску з параметром --force-safemode шкідливе програмне забезпечення налаштовує наступне перезавантаження в безпечний режим Windows і додає шлях до свого виконуваного файлу до реєстру Windows, щоб автоматично запускатися після перезавантаження в середовищі зі зниженим рівнем безпеки.

Цікаво, що хоча варіант для Windows містить механізми виявлення та уникнення атак середовища, ці процедури, як повідомляється, ніколи не викликаються. Це може дозволити захисникам аналізувати зразки, не запускаючи приховані реакції.

Варіанти Linux та ESXi розширюють область загроз

Версія для ESXi виконує перевірки геозонування та анти-налагодження перед початком шифрування. Вона також намагається здійснити горизонтальний перехід через SSH. Варіант для Linux має ту саму кодову базу, що й зразок ESXi, але містить менше можливостей.

Така кросплатформна підтримка надає VECT 2.0 широкий потенціал для таргетування корпоративних середовищ, особливо тих, що покладаються на віртуалізацію та змішані операційні системи.

Незвичайне геозонування в СНД викликає питання

Перш ніж шифрувати системи, шкідливе програмне забезпечення перевіряє, чи працює воно в країні СНД. Якщо так, виконання зупиняється. Примітно, що, як повідомляється, Україна все ще входить до цих винятків, що є незвичною поведінкою, оскільки багато груп програм-вимагачів виключили Україну зі списків винятків СНД після 2022 року.

Було запропоновано два ймовірних пояснення:

  • Шкідливе програмне забезпечення, можливо, було частково згенеровано за допомогою моделей штучного інтелекту, навчених на застарілих геополітичних даних.
  • Розробники, можливо, повторно використали стару кодову базу програми-вимагача, не оновивши регіональну логіку.

Ознаки недосвідчених операторів

Хоча VECT 2.0 позиціонує себе як відшліфована багатоплатформна загроза з рекрутингом партнерів, партнерством у ланцюгах поставок та професійним брендингом, технічне виконання розповідає іншу історію.

Оцінка безпеки показує, що оператори, ймовірніше, є новачками-злочинцями, ніж досвідченими розробниками програм-вимагачів. Не можна виключати можливості того, що частини шкідливого програмного забезпечення були створені або за допомогою коду, згенерованого штучним інтелектом.

Оцінка безпеки керівників

VECT 2.0 демонструє, наскільки небезпечна на вигляд програма-вимагач може бути технічно недосконалою. Її інфраструктура, партнерства та брендинг створюють імідж серйозного злочинного підприємства, але провал у дизайні шифрування повністю підриває модель вимагання.

Для захисників урок очевидний: зосередьтеся на стійкості, резервному копіюванні, сегментації та швидкому реагуванні на інциденти. У разі атаки VECT 2.0 оплата не гарантує відновлення, вона відбувається лише після знищення.

В тренді

Шкідливе програмне забезпечення ZionSiphon

Шкідливе програмне забезпечення
Аналітики з кібербезпеки виявили новий штам шкідливого програмного забезпечення ZionSiphon, розроблений з чітким акцентом на ізраїльські водоочисні та опріснювальні споруди. Цей розвиток подій...

Найбільше переглянуті

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
21,152
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...