VECT 2.0 ransomware неповратно уништува фајлови над 131KB на Windows, Linux и ESXi

Истражувачите за закани предупредуваат дека сајбер-криминалната операција позната како VECT 2.0 повеќе наликува на „wiper“ отколку на ransomware, поради критичен пропуст во имплементацијата на енкрипција кај верзиите за Windows, Linux и ESXi, што ја прави обновата на податоците невозможна – дури и за самите напаѓачи.

Фактот дека „locker“-от на VECT трајно ги уништува поголемите фајлови наместо да ги енкриптира значи дека дури и жртвите кои ќе одлучат да платат откуп нема да можат да ги вратат своите податоци, бидејќи клучевите за декрипција се отфрлаат од малициозниот софтвер во текот на процесот на „енкрипција“.

„VECT се продава како ransomware, но за секој фајл поголем од 131KB – што е најголемиот дел од податоците важни за компаниите – тој функционира како алатка за уништување на податоци,“ изјави Ели Смадја, менаџер на група во Check Point Research, во соопштение споделено со The Hacker News.

„CISO-ата треба да разберат дека при инцидент со VECT, плаќањето не е стратегија за обновување. Не постои декриптор што може да се добие, не затоа што напаѓачите не сакаат да го дадат, туку затоа што информациите потребни за негово создавање се уништени во моментот кога нивниот софтвер се извршил. Фокусот мора да биде на отпорност: офлајн бекапи, тестирани процедури за обновување и брзо ограничување на инцидентот – а не преговори.“

VECT (сега ребрендиран како VECT 2.0) е ransomware-as-a-service (RaaS) шема која првпат го лансираше својот affiliate програм во декември 2025 година. На својата „dark web“ страница, групата ја прикажува пораката „Exfiltration / Encryption / Extortion“, нагласувајќи го својот троен модел на закани.

Според анализа објавена минатиот месец од Data Security Council of India (DSCI), за нови партнери е потребна влезна такса од 250 долари, која се плаќа во Monero (XMR). Таксата се укинува за апликанти од земјите на Заедницата на независни држави (CIS), што укажува на обид за регрутирање лица од тој регион.

Во последните недели, групата воспостави формално партнерство со сајбер-криминалниот пазар BreachForums и хакерската група TeamPCP, со цел дополнително да ја намали бариерата за влез за ransomware оператори и да ги мотивира партнерите да лансираат напади преку искористување на претходно украдени податоци.

„Конвергенцијата на масовна кражба на креденцијали во синџирот на снабдување, созревање на RaaS операција и масовна мобилизација на dark web форуми претставува невиден модел на индустријализирано распоредување на ransomware,“ забележа Dataminr претходно овој месец.

Иако соработката може да биде најава за идни трендови, страницата за објавување на украдени податоци моментално наведува само две жртви, за кои се вели дека биле компромитирани преку напади на синџирот на снабдување од TeamPCP. Дополнително, спротивно на првичните тврдења на групата дека користи ChaCha20-Poly1305 AEAD за енкрипција, анализата на Check Point покажала дека се користи послаб, неавтентициран алгоритам без заштита на интегритет.

Но тука не завршува приказната – „locker“-ите напишани на C++ за сите три платформи имаат фундаментален дизајнерски пропуст што предизвикува секој фајл поголем од 131,072 бајти да биде трајно и неповратно уништен, наместо енкриптиран.

„Малициозниот софтвер енкриптира четири независни делови од секој ‘голем фајл’ користејќи четири новогенерирани случајни nonce вредности од 12 бајти, но само последниот nonce се додава во енкриптираниот фајл на диск,“ објаснува Check Point. „Првите три nonce вредности, потребни за декрипција на нивните делови, се генерираат, користат и тивко се отфрлаат. Тие никогаш не се зачувуваат на диск, во регистар или се испраќаат до операторот.“

„Бидејќи ChaCha20-IETF бара и 32-бајтен клуч и точен 12-бајтен nonce за секој дел, првите три четвртини од секој голем фајл се неповратни за било кого, вклучувајќи го и операторот на ransomware-от. Бидејќи повеќето критични фајлови ја надминуваат оваа големина, VECT 2.0 во пракса функционира како ‘wiper’ со фасада на ransomware.“

Windows верзијата, покрај енкрипција на фајлови на локални, преносливи и мрежни уреди, содржи и напреден систем за избегнување анализа кој таргетира 44 безбедносни и дебагинг алатки, механизам за опстанок во Safe Mode и повеќе скрипти за далечинско извршување за латерално ширење.

Кога е активна опцијата „–force-safemode“, ransomware-от го конфигурира следното подигање на системот во Windows Safe Mode и ја запишува патеката до својата извршна датотека во Windows Registry за автоматско извршување.

Дополнително, иако Windows варијантата има механизми за детекција на околина за избегнување откривање, тие никогаш не се активираат, што им овозможува на безбедносните тимови да ја анализираат без активирање на одбранбени механизми. ESXi варијантата, пак, користи геофенсинг и анти-дебагинг проверки пред енкрипција и се обидува да се шири преку SSH.

Linux верзијата користи ист код како ESXi и имплементира дел од неговите функции. Геофенсингот проверува дали системот се наоѓа во CIS земја и, ако е така, прекинува без енкрипција. Ова однесување е невообичаено, бидејќи повеќето RaaS програми ги отстранија ваквите проверки во последните години.

Check Point наведува две можни објаснувања: или кодот е генериран со помош на вештачка интелигенција обучена со застарени податоци, или VECT користи стар код.

Се проценува дека операторите на VECT се почетници, а не искусни актери, со можност делови од кодот да се генерирани со помош на AI алатки.

„VECT 2.0 претставува амбициозна закана со поддршка за повеќе платформи, активен affiliate програм и партнерства, но во пракса неговата техничка имплементација значително заостанува зад неговата презентација,“ заклучува Check Point.

Извори:

• The Hacker News – VECT 2.0 Ransomware Irreversibly Destroys Files Over 131KB on Windows, Linux, ESXi The Hacker News