Сімейство VECT 2.0, яке активно просувається в даркнеті як сучасне ransomware-as-a-service (RaaS), виявилося значно небезпечнішим, ніж класичне вимогальне ПЗ. Через критичну помилку у криптографічній реалізації цей «шифрувальник» фактично перетворюється на вайпер – інструмент, що безповоротно знищує дані, залишаючи жертвам мінімальні шанси на відновлення, незалежно від сплати викупу.
Модель VECT 2.0: RaaS з трьома етапами атаки
Оператори VECT 2.0 позиціонують свій продукт як комплексну платформу з трьома ключовими етапами: Exfiltration / Encryption / Extortion – викрадення даних, їх шифрування та подальший шантаж. Такий підхід вже став стандартом для сучасних double extortion-кампаній, де тиск на жертву посилюється загрозою витоку конфіденційної інформації.
Програма партнерства побудована за класичною RaaS-моделлю: аффіліатам пропонують доступ до інфраструктури за вступний внесок близько 250 USD у Monero (XMR). Для зловмисників із країн СНД ця плата скасована, що свідчить про цілеспрямоване залучення виконавців із регіону та спробу швидко масштабувати мережу.
Попри агресивний маркетинг, на «лік-сайті» VECT наразі зафіксовано лише кілька підтверджених жертв, скомпрометованих через ланцюжки постачання за участі групи TeamPCP. Водночас інтеграція з даркнет-форумами та побудова партнерських зв’язків вказують на амбіцію перетворити VECT 2.0 на повноцінну промислову RaaS-платформу.
Фатальна помилка в шифруванні: великі файли знищуються назавжди
Найбільш нетиповою рисою VECT 2.0 є те, що він не виконує коректного шифрування великих файлів. Аналіз Check Point Research показав: для файлів обсягом понад 131 072 байти (приблизно 128–131 КБ) шкідливий код не просто шифрує дані, а фактично їх руйнує. Це стосується більшості критично важливих документів, резервних копій та корпоративних баз даних.
Заявлена розробниками схема ChaCha20-Poly1305 AEAD, яка мала б забезпечувати і конфіденційність, і цілісність, на практиці не використовується. Натомість застосовується слабший, неаутентифікований режим шифрування без перевірки цілісності даних, що саме по собі підвищує ризики пошкодження файлів.
Для файлів, більших за вказаний поріг, VECT 2.0 ділить вміст на чотири незалежні блоки та шифрує кожен з них за допомогою ChaCha20-IETF з окремим випадковим 12-байтовим nonce. На диск записується лише останній nonce, тоді як три перші генеруються, використовуються та відразу втрачаються – вони не зберігаються ані у файлі, ані в реєстрі, ані на сервері керування.
Оскільки для розшифрування кожного блоку потрібні і ключ, і точне значення nonce, перші три чверті будь-якого великого файлу стають невідновними навіть для самих операторів VECT. Таким чином, замість класичного ransomware, який передбачає можливість технічного відновлення даних, VECT 2.0 працює як вайпер, замаскований під вимогальне ПЗ.
Екосистема VECT 2.0: BreachForums, TeamPCP та ланцюжки постачання
Для нарощування масштабу атак VECT 2.0 інтегрується з відомим кіберкримінальним маркетплейсом BreachForums та співпрацює з групою TeamPCP, яка спеціалізується на компрометації ланцюжків постачання. Така конвергенція викрадених облікових даних, RaaS-моделі та даркнет-екосистеми суттєво знижує поріг входу для нових аффіліатів і прискорює запуск атак проти корпоративних мереж.
За даними відкритих звітів про інциденти, саме поєднання supply-chain-компрометації, доступу до баз викрадених облікових записів і готових RaaS-платформ є одним із ключових драйверів зростання успішних атак на підприємства різних галузей. VECT 2.0 демонструє, як швидко подібні сервіси можуть еволюціонувати від «експериментальних» кампаній до реальної загрози для інфраструктур на Windows, Linux та ESXi.
Технічні деталі реалізації: Windows, Linux та ESXi
У версії для Windows VECT 2.0 орієнтований на шифрування (та фактичне знищення) локальних, мережевих і змінних носіїв. Додатково реалізовано широкий набір антианалізу, спрямований проти популярних засобів безпеки, відлагоджувачів та інструментів реверс-інжинірингу.
Окремої уваги заслуговує механізм закріплення через Safe Mode. При запуску з параметром --force-safemode шкідливе ПЗ налаштовує наступне завантаження системи в безпечному режимі та реєструє себе для автозапуску. Це дозволяє виконувати шифрування в середовищі з мінімальною кількістю драйверів і сервісів, де значна частина захисних рішень не активується.
Цікаво, що вбудовані перевірки на віртуальне середовище й «пісочниці» у Windows-варіанті фактично не використовуються: відповідні функції присутні в коді, але ніде не викликаються. Для аналітиків це спрощує дослідження зразків, однак водночас видає відносну недосвідченість розробників.
Варіанти для Linux та ESXi спираються на спільну кодову базу. ESXi-збірка додатково реалізує геофенсинг, перевірки на відлагодження та спроби горизонтального розповсюдження через SSH. Якщо шкідливий код виявляє, що запущений у одній із країн СНД, він завершує роботу без шифрування. Виняток становить Україна, яка все ще входить до «білих» регіонів, що виглядає атипово для сучасних RaaS-проектів після 2022 року. Дослідники припускають використання застарілої бази коду або фрагментів, згенерованих ШІ.
Сукупність факторів – грубі криптографічні помилки, дивні геофільтри, неактивовані засоби уникнення аналізу – вказує на те, що за VECT 2.0, ймовірно, стоїть відносно молода команда, яка лише частково розуміє складність розробки надійного шифрувальника та активно покладається на автоматизоване створення коду.
Для організацій цей кейс є показовим нагадуванням: оплата викупу ніколи не гарантує відновлення даних. На практиці жертви можуть втратити кошти й одночасно зазнати незворотної втрати критичної інформації, як у випадку з VECT 2.0. Набагато ефективніша стратегія – інвестувати в ізольовані офлайн-резервні копії, регулярне тестування процедур відновлення, сегментацію мережі, багатофакторну автентифікацію та моніторинг ланцюжків постачання. Чим раніше буде виявлена підозріла активність – від компрометації облікових даних до аномальної роботи ESXi-серверів, – тим вищі шанси, що VECT 2.0 залишиться для вашої компанії лише прикладом з аналітичних звітів, а не тригером катастрофічної втрати даних.
