Die jüngst analysierte Schadsoftware VECT 2.0 zeigt eine gefährliche Entwicklung im Ransomware-Ökosystem: Unter dem Deckmantel klassischer Erpressungskampagnen agiert die Malware in der Praxis wie ein Datenwiper – ein Werkzeug zur endgültigen Zerstörung von Informationen. Ursache ist ein gravierender Implementierungsfehler in der Verschlüsselung, durch den sich ein Großteil der betroffenen Dateien nicht einmal durch die Angreifer selbst wiederherstellen lässt.
Ransomware-as-a-Service mit Wiper-Effekt: Positionierung von VECT 2.0
VECT, inzwischen unter dem Namen VECT 2.0 aktiv, wird im Darknet als Ransomware-as-a-Service (RaaS) vermarktet. Die Betreiber werben mit einem dreistufigen Geschäftsmodell „Exfiltration / Encryption / Extortion“: Datendiebstahl, Verschlüsselung und anschließende Erpressung. Affiliates zahlen für den Zugang zur Plattform rund 250 US‑Dollar in Monero (XMR); für Akteure aus GUS-Staaten entfällt diese Gebühr – ein klarer Anreiz zur Rekrutierung in dieser Region.
Obwohl die Leak-Seite des Projekts bislang nur zwei bestätigte Opfer listet, die über eine kompromittierte Lieferkette im Umfeld der Gruppe TeamPCP angegriffen wurden, deutet die Architektur der Plattform auf eine langfristig angelegte, skalierbare RaaS-Infrastruktur hin. Integration in einschlägige Darknet-Foren und Partnerschaften mit Datendieben sollen die Angriffsfläche massiv erweitern.
Kryptografischer Konstruktionsfehler: Große Dateien werden physisch zerstört
Die entscheidende Besonderheit von VECT 2.0 ist, dass die Schadsoftware technisch keine klassische Ransomware darstellt. Ab einer Dateigröße von mehr als 131 072 Byte (rund 128–131 KB) kommt es nicht zu einer korrekten, umkehrbaren Verschlüsselung, sondern zur faktischen Vernichtung des Inhalts. Damit sind gerade geschäftskritische Dokumente, Datenbanken und virtuelle Festplatten besonders betroffen.
Zwar geben die Entwickler an, den modernen Algorithmus ChaCha20-Poly1305 AEAD einzusetzen, der sowohl Vertraulichkeit als auch Integrität gewährleisten soll. In der Praxis verwenden die Builds für Windows, Linux und ESXi jedoch ein schwächeres, nicht authentifiziertes Schema auf Basis von ChaCha20-IETF – und implementieren dieses konzeptionell fehlerhaft.
Für größere Dateien teilt VECT 2.0 den Inhalt in vier separate Blöcke auf. Jeder Block wird mit demselben Schlüssel, aber einem neuen, zufälligen 12‑Byte-Nonce verschlüsselt. Auf die Festplatte gelangt lediglich der zuletzt verwendete Nonce. Die drei zuvor generierten Nonces werden weder im Dateikopf noch im System noch auf einem Command-and-Control-Server gespeichert und sind damit dauerhaft verloren.
Da für die Entschlüsselung jedes Blocks sowohl Schlüssel als auch der exakte Nonce benötigt werden, sind die ersten drei Viertel einer großen Datei für alle Beteiligten endgültig unrettbar – einschließlich der VECT-Operatoren. Aus Sicht des Opfers verhält sich VECT 2.0 damit wie ein Wiper mit Ransomware-Oberfläche: selbst bei Zahlung des Lösegelds besteht keine realistische Chance auf Datenwiederherstellung.
RaaS-Ökosystem, BreachForums und Supply-Chain-Bedrohungen
Zur Verbreitung von VECT 2.0 setzen die Hintermänner auf Kooperationen mit etablierten Untergrundstrukturen wie BreachForums und der Gruppe TeamPCP. Dort gehandelte, zuvor gestohlene Zugangsdaten und Zugriffe auf Unternehmensumgebungen senken die Einstiegshürden für Affiliates deutlich.
Diese Konvergenz aus Credential-Diebstahl in Lieferketten, ausgereiften RaaS-Modellen und der Logistik großer Darknet-Foren spiegelt einen breiten Trend im Cybercrime wider, den unter anderem der Verizon Data Breach Investigations Report und Analysen der ENISA seit Jahren beobachten: Angriffe werden industrialisiert, Rollen spezialisiert und komplette Angriffsketten als Dienstleistung angeboten. VECT 2.0 fügt sich nahtlos in dieses Ökosystem ein – trotz erkennbar unerfahrener Entwickler.
Technische Merkmale für Windows, Linux und ESXi
Windows-Variante: Safe-Mode-Missbrauch und Anti-Analyse-Techniken
Die Windows-Version von VECT 2.0 zielt auf lokale, Wechseldatenträger- und Netzlaufwerke und verfügt über ein breites Set an Anti-Analyse-Funktionen, das auf zahlreiche Sicherheits- und Debugging-Tools ausgerichtet ist. Auffällig ist ein Mechanismus zum Missbrauch des abgesicherten Modus (Safe Mode): Wird die Malware mit dem Parameter --force-safemode gestartet, erzwingt sie beim nächsten Reboot den Start im Safe Mode, schreibt sich in die Registry und läuft dann mit minimal geladenen Treibern und Diensten – typischerweise mit eingeschränkter Schutzsoftware.
Bemerkenswert ist, dass implementierte Checks auf virtuelle Umgebungen und Sandboxen in der aktuellen Version nie tatsächlich aufgerufen werden. Für Verteidiger erleichtert dies die Analyse, da VECT 2.0 viele seiner Tarn- und Evasionsfunktionen faktisch nicht nutzt.
Linux- und ESXi-Variante: Geofencing und laterale Bewegung
Die Builds für Linux und ESXi basieren weitgehend auf gemeinsamer Codebasis. Die ESXi-Variante führt vor der Verschlüsselung Geofencing-Prüfungen, Debug-Checks und Versuche durch, sich über SSH im Netzwerk lateral zu verbreiten. Erkennt die Malware, dass sie in bestimmten GUS-Staaten ausgeführt wird, beendet sie sich, ohne Daten anzugreifen. Anders als bei vielen modernen RaaS-Projekten seit 2022 ist die Ukraine weiterhin in dieser Ausnahmeliste, was auf eine ältere Codebasis oder automatisiert generierten Code hindeutet.
Die Kombination aus kryptografischen Fehlern, inkonsistenten Geofencing-Regeln und totem Code für Umgebungsprüfungen legt nahe, dass hinter VECT 2.0 vergleichsweise unerfahrene Akteure stehen, die teilweise auf Code-Generatoren oder Baukastensysteme zurückgreifen.
Konsequenzen für Unternehmen: Warum Lösegeldzahlung keine Option ist
Der Fall VECT 2.0 unterstreicht eine zentrale Erkenntnis, die auch Behörden wie BSI, Europol und FBI regelmäßig betonen: Lösegeldzahlungen sind keine verlässliche Wiederherstellungsstrategie. Im konkreten Fall droht Unternehmen ein doppelter Verlust – finanzielle Mittel an die Täter und zugleich die endgültige Vernichtung kritischer Datenbestände.
Organisationen sollten ihre Cybersicherheitsstrategie daher auf Resilienz und Wiederherstellbarkeit ausrichten. Dazu gehören insbesondere isolierte, offline oder unveränderbar gespeicherte Backups (z. B. WORM, Immutable Storage), regelmäßige Recovery-Tests, konsequentes Zugriffsmanagement (Least Privilege, MFA), segmentierte Netzwerke sowie die Früherkennung von Anomalien in der Lieferkette.
Darüber hinaus empfiehlt sich ein aktualisierter Incident-Response-Plan, der Szenarien mit Wiper-ähnlichen Ransomware-Varianten explizit berücksichtigt: klare Entscheidungswege, Kommunikationsstrategien, Priorisierung geschäftskritischer Systeme und definierte Wiederanlaufpläne (RTO/RPO). Schulungen für Mitarbeitende zu Phishing, Passwortsicherheit und frühen Anzeichen einer Kompromittierung reduzieren zusätzlich die Erfolgswahrscheinlichkeit solcher Kampagnen.
VECT 2.0 zeigt, wie schnell selbst verhältnismäßig „unerfahrene“ Gruppen mit Hilfe von RaaS-Plattformen und Darknet-Ressourcen zu einer ernsten Gefahr für Windows-, Linux- und ESXi-Infrastrukturen werden können. Unternehmen, die jetzt in robuste Backup-Konzepte, Netzwerksegmentierung, Härtung ihrer Systeme und kontinuierliche Überwachung investieren, erhöhen ihre Chancen erheblich, dass VECT 2.0 und seine Nachfolger nur eine Randnotiz in den Sicherheitsberichten bleiben – und nicht Auslöser einer geschäftskritischen Datenkatastrophe.
