多許可證折扣報價
威脅數據庫 勒索軟體 VECT 2.0 勒索軟體

VECT 2.0 勒索軟體

勒索軟體Mezo
翻譯為:

名為 VECT 2.0 的網路犯罪活動偽裝成勒索軟體,但技術分析表明,其行為更接近資料擦除程式。該程式在 Windows、Linux 和 ESXi 等多種平台上的加密實作存在嚴重缺陷,即使是幕後攻擊者也無法復原檔案。

對於大於 131 KB 的檔案(包括大多數企業關鍵資料),該惡意軟體不提供可復原的加密。相反,它會永久銷毀恢復所需的資料。因此,支付贖金並不能提供切實可行的恢復途徑。

在任何 VECT 2.0 事件中,協商都不應被視為補救策略。因為建構解密器所需的資訊在執行過程中已被銷毀,所以無法提供有效的解密器。防禦重點應放在離線備份、經過驗證的復原計畫、快速遏制和業務彈性。

一家與犯罪分子合作的、不斷發展的RaaS營運公司

VECT 最初於 2025 年 12 月作為勒索軟體即服務 (RaaS) 程式推出,此後更名為 VECT 2.0。其暗網入口網站宣傳的模式是“資料外洩/加密/勒索”,表明其採用三重勒索方法。

據報道,新加入的會員需繳納 250 美元的門羅幣 (XMR) 入會費。然而,來自獨聯體國家的申請人可免交此費用,這表明該公司可能在有針對性地從該地區招募會員。

該組織還與 BreachForums 和 TeamPCP 駭客組織建立了合作關係。這種合作似乎旨在簡化勒索軟體操作,降低新成員加入的門檻,並將先前竊取的資料用於進一步攻擊。

供應鏈憑證盜竊、有組織的聯盟行動以及基於論壇的犯罪動員相結合,反映了勒索軟體生態系統日益工業化。

儘管有人聲稱受害者人數眾多,但實際受害者人數仍然很低。

儘管 VECT 2.0 進行了積極的宣傳,但據報道,其洩露網站僅列出了兩名受害者,據稱兩人均因與 TeamPCP 相關的供應鏈攻擊而受到損害。

該組織最初聲稱使用ChaCha20-Poly1305 AEAD,更強大的認證加密方法。然而,技術審查發現其使用的是一種強度較低的、未經認證且缺乏完整性保護的密碼,這嚴重質疑了該組織的能力和可信度。

導致資料損毀的加密失敗

該惡意軟體最嚴重的缺陷在於它處理大於 131,072 位元組的檔案的方式。它沒有安全地加密可恢復的數據,而是將每個大檔案分成四個部分,並使用單獨的隨機生成的 12 位元組 nonce 對每個部分進行加密。

只有最後一個隨機數字會與加密檔案一起儲存。前三個隨機數用於解密檔案的大部分內容,它們只產生一次,然後永久丟棄。這些隨機數不會保存在本地,也不會寫入註冊表或發送給操作員。

由於 ChaCha20-IETF 方法需要正確的 32 位元組金鑰和匹配的 nonce 值才能解密,因此每個受影響檔案的前四分之三將無法復原。這意味著 VECT 2.0 的實際運作方式類似於隱藏在勒索軟體訊息背後的破壞性擦除程式。

Windows 版本:功能強大,但執行力較弱

Windows 版本功能最豐富,目標使用者群體為:

  • 本機磁碟機、可移動媒體和可存取的網路存儲
  • 44 項安全性和調試工具透過反分析檢查
  • 安全模式持久機制
  • 用於橫向移動的遠端執行腳本模板

當使用 --force-safemode 參數啟動時,該惡意軟體會將下次重新啟動配置為進入 Windows 安全模式,並將其執行檔路徑新增至 Windows 登錄中,以便在安全環境降低的情況下重新啟動後自動執行。

有趣的是,儘管Windows版本包含環境偵測和規避機制,但據報導這些例程從未被呼叫。這可能使防御者能夠在不觸發隱蔽響應的情況下分析樣本。

Linux 和 ESXi 變體擴大了威脅面

ESXi 版本在開始加密之前會執行地理圍欄和反調試檢查。它還會嘗試透過 SSH 進行橫向移動。 Linux 版本與 ESXi 範例共用相同的程式碼庫,但功能較少。

這種跨平台支援使 VECT 2.0 具有廣泛的針對企業環境的潛力,特別是那些依賴虛擬化和混合作業系統的企業環境。

獨聯體國家不尋常的地理圍欄引發疑問

在加密系統之前,該惡意軟體會檢查自身是否運行在獨聯體國家。如果是,則執行停止。值得注意的是,據報道烏克蘭仍在這些豁免名單中,這很不尋常,因為許多勒索軟體組織在2022年後已將烏克蘭從獨聯體豁免名單中移除。

目前提出了兩種可能的解釋:

  • 該惡意軟體可能部分使用了基於過時地緣政治資料訓練的人工智慧模型生成。
  • 開發者可能重複使用了舊的勒索軟體程式碼庫,而沒有更新區域邏輯。

    • 經驗不足的操作者的跡象

    儘管 VECT 2.0 將自己宣傳為一個完善的多平台威脅,擁有聯盟招募、供應鏈合作和專業品牌推廣,但其技術執行卻呈現出截然不同的面貌。

    安全評估表明,攻擊者更可能是新手威脅行為者,而非經驗豐富的勒索軟體開發者。不能排除部分惡意軟體是由人工智慧產生的程式碼或輔助程式碼產生的可能性。

    執行安全評估

    VECT 2.0 表明,看似危險的勒索軟體仍然可能存在技術缺陷。它的基礎設施、合作夥伴關係和品牌形象營造出一個強大的犯罪集團的形象,但加密設計上的缺陷徹底破壞了其勒索模式。

    對於防禦者而言,教訓顯而易見:重點在於提升系統彈性、加強備份、優化網路分段、快速回應事件。在 VECT 2.0 攻擊中,支付費用無法恢復系統,只能彌補破壞。

    熱門

    最受關注

    如何修復“打印機驅動程序不可用”錯誤

    問題
    32,485
    打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
    Discord 在共享屏幕時顯示黑屏截图

    Discord 在共享屏幕時顯示黑屏

    問題
    28,046
    首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

    富趣網

    流氓反間諜軟體程式, Mac 惡意軟體
    21,152
    Fuq.com 是一種廣告軟件類型的程序,用於宣傳含有色情內容的網站。此潛在有害程序 (PUP) 的廣告活動非常激進。他們通過在受感染的設備上顯示相關廣告、橫幅或視頻來強迫受害者查看推廣頁面的可疑成人內容。 Fuq.com 還會影響 Mac 設備,並可能因其推送的內容而導致各種網絡安全問題 - 色情網站通常會將用戶引導至其他可疑網站,觸發有害軟件下載,或誘騙用戶安裝可能有害的應用程序和工具。...
    加載中...