Phần mềm tống tiền VECT 2.0

Hoạt động tội phạm mạng mang tên VECT 2.0 tự xưng là phần mềm tống tiền (ransomware), nhưng phân tích kỹ thuật cho thấy nó hoạt động gần giống với phần mềm xóa dữ liệu hơn. Một lỗ hổng nghiêm trọng trong quá trình mã hóa của nó trên các hệ điều hành Windows, Linux và ESXi khiến việc khôi phục tập tin trở nên bất khả thi, ngay cả đối với những kẻ đứng sau các cuộc tấn công.

Đối với các tập tin lớn hơn 131 KB, bao gồm hầu hết dữ liệu quan trọng của doanh nghiệp, phần mềm độc hại không cung cấp khả năng mã hóa có thể khôi phục. Thay vào đó, nó phá hủy vĩnh viễn dữ liệu cần thiết để khôi phục. Do đó, việc trả tiền chuộc không mang lại giải pháp khả thi nào để khôi phục dữ liệu.

Trong bất kỳ sự cố VECT 2.0 nào, đàm phán không nên được coi là một chiến lược khắc phục. Không có công cụ giải mã nào có thể cung cấp được vì thông tin cần thiết để xây dựng công cụ đó đã bị xóa trong quá trình thực thi. Các ưu tiên phòng thủ nên tập trung vào sao lưu ngoại tuyến, kế hoạch phục hồi đã được xác thực, ngăn chặn nhanh chóng và khả năng phục hồi kinh doanh.

Một hoạt động RaaS đang phát triển với sự hợp tác của tội phạm.

VECT ban đầu được ra mắt như một chương trình Ransomware-as-a-Service (RaaS) vào tháng 12 năm 2025 và sau đó đã được đổi tên thành VECT 2.0. Cổng thông tin trên dark web của nó quảng cáo mô hình 'Trích xuất dữ liệu / Mã hóa / Tống tiền', báo hiệu một phương pháp tống tiền ba chiều.

Theo thông tin được biết, các thành viên mới tham gia chương trình liên kết phải trả phí gia nhập 250 đô la Mỹ bằng Monero (XMR). Tuy nhiên, các ứng viên đến từ các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS) được miễn phí, điều này cho thấy chương trình có thể nhắm mục tiêu tuyển dụng từ khu vực này.

Nhóm này cũng đã thiết lập quan hệ đối tác với BreachForums và nhóm tin tặc TeamPCP. Sự hợp tác này dường như được thiết kế để đơn giản hóa các hoạt động tấn công bằng mã độc tống tiền, giảm bớt rào cản cho các thành viên mới và sử dụng dữ liệu đã đánh cắp trước đó làm vũ khí cho các cuộc tấn công tiếp theo.

Sự kết hợp giữa hành vi đánh cắp thông tin xác thực chuỗi cung ứng, các hoạt động chi nhánh có tổ chức và việc huy động tội phạm dựa trên diễn đàn phản ánh một hệ sinh thái mã độc tống tiền ngày càng được công nghiệp hóa.

Số nạn nhân vẫn ở mức thấp bất chấp những tuyên bố táo bạo.

Bất chấp chiến lược quảng bá rầm rộ, trang web rò rỉ thông tin về VECT 2.0 được cho là chỉ liệt kê hai nạn nhân, cả hai đều bị cáo buộc xâm nhập thông qua các cuộc tấn công chuỗi cung ứng liên quan đến TeamPCP.

Ban đầu, nhóm này tuyên bố sử dụng ChaCha20-Poly1305 AEAD, một phương pháp mã hóa xác thực mạnh hơn. Tuy nhiên, quá trình xem xét kỹ thuật cho thấy họ sử dụng một thuật toán mã hóa yếu hơn, không được xác thực và thiếu khả năng bảo vệ tính toàn vẹn dữ liệu, làm dấy lên những nghi ngờ nghiêm trọng về cả khả năng và độ tin cậy.

Lỗi mã hóa dẫn đến phá hủy dữ liệu

Điểm yếu nghiêm trọng nhất của phần mềm độc hại nằm ở cách nó xử lý các tệp có kích thước lớn hơn 131.072 byte. Thay vì mã hóa an toàn dữ liệu có thể khôi phục, nó chia mỗi tệp lớn thành bốn phần và mã hóa từng phần bằng cách sử dụng các mã ngẫu nhiên 12 byte riêng biệt.

Chỉ có số nonce cuối cùng được lưu trữ cùng với tệp đã mã hóa. Ba số nonce đầu tiên, cần thiết để giải mã phần lớn tệp, được tạo ra, sử dụng một lần và bị loại bỏ vĩnh viễn. Chúng không được lưu cục bộ, ghi vào registry hoặc gửi cho người vận hành.

Vì phương pháp ChaCha20-IETF yêu cầu cả khóa 32 byte chính xác và nonce tương ứng để giải mã, nên ba phần tư đầu tiên của mỗi tập tin bị ảnh hưởng sẽ không thể khôi phục được. Điều này có nghĩa là VECT 2.0 hoạt động như một công cụ xóa dữ liệu phá hoại được ngụy trang đằng sau các thông điệp của phần mềm tống tiền.

Phiên bản Windows: Tính năng nâng cao, khả năng thực thi yếu

Phiên bản Windows có nhiều tính năng nhất và nhắm đến:

• Ổ đĩa cục bộ, phương tiện lưu trữ di động và bộ nhớ mạng có thể truy cập
• 44 công cụ bảo mật và gỡ lỗi thông qua kiểm tra chống phân tích
• cơ chế duy trì Chế độ An toàn
• Các mẫu kịch bản thực thi từ xa cho việc di chuyển ngang

Khi được khởi chạy với tùy chọn --force-safemode, phần mềm độc hại sẽ cấu hình lần khởi động tiếp theo vào Chế độ An toàn của Windows và thêm đường dẫn tệp thực thi của nó vào Windows Registry để tự động chạy sau khi khởi động lại trong môi trường bảo mật giảm.

Điều thú vị là, mặc dù phiên bản Windows có chứa các cơ chế phát hiện và né tránh môi trường, nhưng các quy trình đó được cho là không bao giờ được gọi. Điều này có thể cho phép các chuyên gia bảo mật phân tích các mẫu mà không kích hoạt các phản hồi ẩn.

Các biến thể Linux và ESXi mở rộng phạm vi tấn công.

Phiên bản ESXi thực hiện kiểm tra định vị địa lý và chống gỡ lỗi trước khi bắt đầu mã hóa. Nó cũng cố gắng di chuyển ngang qua SSH. Phiên bản Linux có cùng mã nguồn với mẫu ESXi nhưng có ít chức năng hơn.

Khả năng hỗ trợ đa nền tảng này mang lại cho VECT 2.0 tiềm năng nhắm mục tiêu rộng rãi vào môi trường doanh nghiệp, đặc biệt là những môi trường dựa trên ảo hóa và hệ điều hành hỗn hợp.

Việc khoanh vùng địa lý CIS bất thường gây ra nhiều thắc mắc.

Trước khi mã hóa hệ thống, phần mềm độc hại kiểm tra xem nó có đang chạy ở một quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS) hay không. Nếu có, quá trình thực thi sẽ dừng lại. Đáng chú ý, Ukraine được cho là vẫn nằm trong danh sách ngoại lệ này, một hành vi bất thường vì nhiều nhóm ransomware đã loại bỏ Ukraine khỏi danh sách miễn trừ CIS sau năm 2022.

Hai lời giải thích khả thi đã được đưa ra:

• Phần mềm độc hại này có thể được tạo ra một phần bằng cách sử dụng các mô hình trí tuệ nhân tạo được huấn luyện trên dữ liệu địa chính trị lỗi thời.

• Các nhà phát triển có thể đã tái sử dụng mã nguồn của một phần mềm tống tiền cũ mà không cập nhật logic khu vực.

Dấu hiệu của người vận hành thiếu kinh nghiệm

Mặc dù VECT 2.0 tự quảng bá mình là một đối thủ mạnh mẽ trên nhiều nền tảng với khả năng tuyển dụng đối tác liên kết, hợp tác chuỗi cung ứng và xây dựng thương hiệu chuyên nghiệp, nhưng thực tế kỹ thuật lại cho thấy một câu chuyện khác.

Đánh giá an ninh cho thấy những kẻ điều hành có nhiều khả năng là những tác nhân tấn công mạng nghiệp dư hơn là những nhà phát triển phần mềm tống tiền chuyên nghiệp. Không thể loại trừ khả năng một phần của phần mềm độc hại được tạo ra hoặc hỗ trợ bởi mã do trí tuệ nhân tạo tạo ra.

Đánh giá an ninh cấp cao

VECT 2.0 cho thấy phần mềm tống tiền trông có vẻ nguy hiểm vẫn có thể có những lỗi kỹ thuật. Cơ sở hạ tầng, các mối quan hệ đối tác và thương hiệu của nó tạo nên hình ảnh của một tổ chức tội phạm nghiêm trọng, nhưng lỗi thiết kế mã hóa đã làm suy yếu hoàn toàn mô hình tống tiền.

Đối với những người phòng thủ, bài học rất rõ ràng: tập trung vào khả năng phục hồi, sao lưu dữ liệu, phân vùng và phản ứng nhanh chóng trước sự cố. Trong một cuộc tấn công VECT 2.0, việc trả tiền không mua được sự phục hồi, mà chỉ xảy ra sau khi sự phá hủy đã xảy ra.