Oprogramowanie VECT zadebiutowało pod koniec 2025 roku, odchodząc od tradycyjnego modelu działania grup ransomware. Zamiast rekrutować wąską grupę zaufanych partnerów, twórcy VECT otworzyli swoje drzwi dla wszystkich – alarmuje Check Point. Dzięki partnerstwu z BreachForums, platforma ransomware została automatycznie udostępniona każdemu członkowi przestępczego forum. Okazuje się jednak, że narzędzie posiada błędy, które – zamiast szyfrować – niszczą przechwycone pliki.
Sytuację pogarsza współpraca VECT z grupą TeamPCP, odpowiedzialną za serię tegorocznych ataków na łańcuchy dostaw. Ich celem jest wykorzystanie istniejących już dostępów jako punktu wyjścia do ataków na firmy, które wcześniej ucierpiały z powodu tych luk. Choć zagrożenie to na papierze wygląda na bardzo poważne i skalowalne, to przeprowadzona przez specjalistów Check Point Research analiza ujawniła krytyczne błędy w kodzie oprogramowania.
Krytyczna wada? VECT niszczy dane, zamiast je blokować
Klasyczny model ransomware polega na odwracalności procesu – atakujący blokuje pliki, zatrzymuje klucz i oddaje go po zapłaceniu okupu. Oprogramowanie VECT łamie ten model z powodu błędów w swoim kodzie.
Okazuje się, że VECT trwale niszczy duże pliki zamiast jedynie je blokować. Kiedy oprogramowanie szyfruje duże pliki, trwale odrzuca informacje, które są niezbędne do odwrócenia tego procesu. Oznacza to, że nie ma żadnego klucza, który atakujący mógłby przekazać ofierze. Nawet sami hakerzy nie są w stanie dostarczyć działającego deszyfratora, ponieważ środki niezbędne do odszyfrowania już nigdzie nie istnieją.
Ten niszczycielski błąd dotyczy najważniejszych dla firm plików, w tym obrazów maszyn wirtualnych, baz danych, kopii zapasowych oraz archiwów. W przypadku tych plików VECT zachowuje się jak oprogramowanie niszczące dane (data wiper) z dołączonym jedynie żądaniem okupu. Krytyczna wada szyfrowania jest obecna we wszystkich wersjach oprogramowania dla środowisk Windows, Linux oraz ESXi. Błąd ten występował we wszystkich znanych próbkach i nigdy nie został naprawiony.
Amatorskie wykonanie i zepsute funkcje
Mimo że VECT inwestuje wiele w profesjonalny wizerunek (oferując m.in. dobrze zaprojektowany panel partnerski), analiza samego kodu pokazuje zupełnie inną rzeczywistość. Naukowcy z Check Point Research przypuszczają, że jest to dzieło raczej nowicjuszy niż doświadczonych operatorów ransomware.
-
Niedziałające funkcje: Wiele reklamowanych możliwości, w tym tryby prędkości szyfrowania i zabezpieczenia przed analizą kodu, jest po prostu niezainstalowanych lub całkowicie zepsutych. Oprogramowanie ignoruje ustawienia prędkości szyfrowania i każdy atak przebiega w identyczny sposób. Narzędzia mające na celu unikanie wykrycia nigdy nie są aktywowane.
-
Stary kod i potencjalne użycie AI: Niezmienione wykluczenia geofencingowe chroniące cele w Ukrainie wskazują, że VECT może bazować na wyciekłym kodzie starszym niż z 2022 roku. Nie można również wykluczyć, że pewne części kodu wygenerowano przy użyciu sztucznej inteligencji, co tłumaczyłoby powstawanie tak fundamentalnych błędów ukrytych pod fasadą rzekomego profesjonalizmu.
Kluczowe rekomendacje dla CTO i zespołów bezpieczeństwa
Jeśli Twoja organizacja padła ofiarą ataku to nie płać okupu – płatność w żadnym wypadku nie przywróci Twoich danych. To co należy zrobić, to skupić się na odzyskiwaniu i reakcji. Ponieważ dla większości krytycznych plików biznesowych nie ma działającego deszyfratora, jedyną drogą jest natychmiastowe zaangażowanie zespołu reagowania na incydenty i odzyskiwanie systemów z czystych kopii zapasowych. Płacenie jedynie przekazuje fundusze przestępcom i nie daje niczego w zamian.
Jeśli nie zostałeś jeszcze zaatakowany rotacja poświadczeń będzie priorytetem. W przypadku, gdy Twoja firma korzysta z narzędzi programistycznych takich jak Trivy, KICS, LiteLLM lub Telnyx, które były celem ataków łańcucha dostaw grupy TeamPCP, musisz potraktować natychmiastową rotację poświadczeń jako najwyższy priorytet. Co istotne, nawet pomimo błędów w szyfrowaniu, dane wciąż mogą zostać wykradzione przed jego rozpoczęciem, a systemy mogą ulec awarii.
Wady VECT można naprawić, a przyszła aktualizacja ich oprogramowania rozesłana do tysięcy partnerów przestępczych może uczynić tę grupę znacznie bardziej niebezpieczną. Zdaniem specjalistów Check Pointa należy pilnie monitorować to zagrożenie.
