多许可证折扣报价
威胁数据库 勒索软件 VECT 2.0 勒索软件

VECT 2.0 勒索软件

通过Mezo勒索软件
翻译为:

名为 VECT 2.0 的网络犯罪活动伪装成勒索软件,但技术分析表明,其行为更接近于数据擦除程序。该程序在 Windows、Linux 和 ESXi 等多种平台上的加密实现存在严重缺陷,即使是幕后攻击者也无法恢复文件。

对于大于 131 KB 的文件(包括大多数企业关键数据),该恶意软件不提供可恢复的加密。相反,它会永久销毁恢复所需的数据。因此,支付赎金并不能提供切实可行的恢复途径。

在任何 VECT 2.0 事件中,协商都不应被视为补救策略。因为构建解密器所需的信息在执行过程中已被销毁,所以无法提供有效的解密器。防御重点应放在离线备份、经过验证的恢复计划、快速遏制和业务弹性上。

一家与犯罪分子合作的、不断发展的RaaS运营公司

VECT 最初于 2025 年 12 月作为勒索软件即服务 (RaaS) 程序推出,此后更名为 VECT 2.0。其暗网门户网站宣传的模式是“数据泄露/加密/勒索”,表明其采用三重勒索方法。

据报道,新加入的会员需缴纳 250 美元的门罗币 (XMR) 入会费。然而,来自独联体国家的申请人可免交此费用,这表明该公司可能在有针对性地从该地区招募会员。

该组织还与 BreachForums 和 TeamPCP 黑客组织建立了合作关系。这种合作似乎旨在简化勒索软件操作,降低新成员加入的门槛,并将先前窃取的数据用于进一步攻击。

供应链凭证盗窃、有组织的联盟行动以及基于论坛的犯罪动员相结合,反映了勒索软件生态系统日益工业化。

尽管有人声称受害者人数众多,但实际受害者人数仍然很低。

尽管 VECT 2.0 进行了积极的宣传,但据报道,其泄露网站仅列出了两名受害者,据称两人均因与 TeamPCP 相关的供应链攻击而受到损害。

该组织最初声称使用ChaCha20-Poly1305 AEAD,一种更强大的认证加密方法。然而,技术审查发现其使用的是一种强度较低的、未经认证且缺乏完整性保护的密码,这严重质疑了该组织的能力和可信度。

导致数据损毁的加密失败

该恶意软件最严重的缺陷在于它处理大于 131,072 字节的文件的方式。它没有安全地加密可恢复的数据,而是将每个大文件分成四个部分,并使用单独的随机生成的 12 字节 nonce 对每个部分进行加密。

只有最后一个随机数会与加密文件一起存储。前三个随机数用于解密文件的大部分内容,它们仅生成一次,然后永久丢弃。这些随机数不会保存在本地,也不会写入注册表或发送给操作员。

由于 ChaCha20-IETF 方法需要正确的 32 字节密钥和匹配的 nonce 值才能解密,因此每个受影响文件的前四分之三将无法恢复。这意味着 VECT 2.0 的实际运作方式类似于隐藏在勒索软件消息背后的破坏性擦除程序。

Windows 版本:功能强大,但执行力较弱

Windows 版本功能最丰富,目标用户群体为:

  • 本地驱动器、可移动介质和可访问的网络存储
  • 44 项安全和调试工具通过反分析检查
  • 安全模式持久机制
  • 用于横向移动的远程执行脚本模板

当使用 --force-safemode 参数启动时,该恶意软件会将下次重启配置为进入 Windows 安全模式,并将其可执行文件路径添加到 Windows 注册表中,以便在安全环境降低的情况下重启后自动运行。

有趣的是,尽管Windows版本包含环境检测和规避机制,但据报道这些例程从未被调用。这可能使防御者能够在不触发隐蔽响应的情况下分析样本。

Linux 和 ESXi 变体扩大了威胁面

ESXi 版本在开始加密之前会执行地理围栏和反调试检查。它还会尝试通过 SSH 进行横向移动。Linux 版本与 ESXi 示例共享相同的代码库,但功能较少。

这种跨平台支持使 VECT 2.0 具有广泛的针对企业环境的潜力,特别是那些依赖虚拟化和混合操作系统的企业环境。

独联体国家不寻常的地理围栏引发疑问

在加密系统之前,该恶意软件会检查自身是否运行在独联体国家。如果是,则执行停止。值得注意的是,据报道乌克兰仍然在这些豁免名单中,这很不寻常,因为许多勒索软件组织在2022年后已将乌克兰从独联体豁免名单中移除。

目前提出了两种可能的解释:

  • 该恶意软件可能部分使用了基于过时地缘政治数据训练的人工智能模型生成。
  • 开发者可能重复使用了旧的勒索软件代码库,而没有更新区域逻辑。

    • 经验不足的操作者的迹象

    尽管 VECT 2.0 将自己宣传为一个完善的多平台威胁,拥有联盟招募、供应链合作和专业品牌推广,但其技术执行却呈现出截然不同的面貌。

    安全评估表明,攻击者更可能是新手威胁行为者,而非经验丰富的勒索软件开发者。不能排除部分恶意软件是由人工智能生成的代码或辅助代码生成的可能性。

    执行安全评估

    VECT 2.0 表明,看似危险的勒索软件仍然可能存在技术缺陷。它的基础设施、合作伙伴关系和品牌形象营造出一个强大的犯罪集团的形象,但加密设计上的缺陷却彻底破坏了其勒索模式。

    对于防御者而言,教训显而易见:重点在于提升系统弹性、加强备份、优化网络分段以及快速响应事件。在 VECT 2.0 攻击中,支付费用无法恢复系统,只能弥补破坏。

    趋势

    最受关注

    如何修复“打印机驱动程序不可用”错误

    问题
    32,485
    打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
    Discord 在共享屏幕时显示黑屏截图

    Discord 在共享屏幕时显示黑屏

    问题
    28,046
    首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

    富趣网

    流氓反间谍软件程序, Mac 恶意软件
    21,152
    Fuq.com 是一种广告软件类型的程序,用于宣传含有色情内容的网站。此潜在有害程序 (PUP) 的广告活动非常激进。他们通过在受感染的设备上显示相关广告、横幅或视频来强迫受害者查看推广页面的可疑成人内容。 Fuq.com 还会影响 Mac 设备,并可能因其推送的内容而导致各种网络安全问题 - 色情网站通常会将用户引导至其他可疑网站,触发有害软件下载,或诱骗用户安装可能有害的应用程序和工具。...
    正在加载...