Η Check Point Research δημοσίευσε μόλις νέα ευρήματα για μια καινούρια ομάδα ransomware που όλοι πρέπει να γνωρίζουν πριν βρεθούν στη θέση του θύματος: η ομάδα VECT καταστρέφει μόνιμα μεγάλα αρχεία αντί να τα κρυπτογραφεί. Τα θύματα που πληρώνουν τα λύτρα δεν μπορούν να πάρουν τα δεδομένα τους πίσω. Δεν υπάρχει decryptor. Και δεν θα υπάρξει ποτέ.
Τα αρχεία που επηρεάζονται είναι ακριβώς εκείνα που έχουν τη μεγαλύτερη σημασία σε μια επίθεση σε επίπεδο enterprise: images εικονικών μηχανών (VM disk images), βάσεις δεδομένων, backups και αρχεία (archives).
Σύμφωνα με τον Eli Smadja, Group Manager στην Check Point Research: «Το VECT διαφημίζεται ως ransomware, όμως για οποιοδήποτε αρχείο άνω των 131kb — δηλαδή για το μεγαλύτερο μέρος των δεδομένων που πραγματικά ενδιαφέρουν τις επιχειρήσεις — λειτουργεί ουσιαστικά ως εργαλείο καταστροφής δεδομένων. Οι CISOs πρέπει να κατανοήσουν ότι σε ένα περιστατικό VECT, η πληρωμή δεν αποτελεί στρατηγική ανάκτησης. Δεν υπάρχει δυνατότητα δημιουργίας decryptor, όχι επειδή οι επιτιθέμενοι δεν θέλουν να τον παραδώσουν, αλλά επειδή οι πληροφορίες που θα απαιτούνταν για τη δημιουργία του έχουν καταστραφεί τη στιγμή που εκτελείται το λογισμικό τους. Η έμφαση πρέπει να δοθεί στην ανθεκτικότητα: offline backups, δοκιμασμένες διαδικασίες αποκατάστασης και ταχεία απομόνωση του περιστατικού — όχι στη διαπραγμάτευση.»
Η ίδια η ομάδα αξίζει παρακολούθησης. Πρόσφατα, η VECT συνεργάστηκε με την BreachForums και την TeamPCP — τον παράγοντα supply chain που βρίσκεται πίσω από επιθέσεις σε εργαλεία όπως τα Trivy, LiteLLM και άλλα ευρέως χρησιμοποιούμενα developer tools — προκειμένου να δημιουργήσει ένα από τα μεγαλύτερα δίκτυα affiliates ransomwareπου έχουμε δει μέχρι σήμερα. Η υποδομή είναι πραγματική. Η φιλοδοξία σοβαρή. Το λογισμικό, ωστόσο, είναι θεμελιωδώς προβληματικό.
Μερικά ακόμη ευρήματα που ενδέχεται να έχουν ενδιαφέρον:
- Προγενέστερα δημοσιεύματα του κλάδου, όπως και η ίδια η προώθηση της ομάδας, περιέγραφαν τη VECT ως χρησιμοποιούν ChaCha20-Poly1305 AEAD encryption. Η ανάλυση της CPR έδειξε ότι αυτό δεν ισχύει — χρησιμοποιείται ασθενέστερος, μη πιστοποιημένος κρυπτογραφικός αλγόριθμος, χωρίς προστασία ακεραιότητας.
- Η CPR εκτιμά επίσης ότι ηVECT είναι πιθανότερο έργο νεοεισερχόμενων παρά έμπειρων operators και δεν αποκλείει το ενδεχόμενο μέρος του κώδικα να έχει παραχθεί με τη βοήθεια AI. Μια ασυνήθιστη λεπτομέρεια geofencing υποδηλώνει ότι ο κώδικας ενδέχεται να βασίζεται σε leaked ransomware build προ του 2022, αντί να έχει γραφτεί από την αρχή, όπως ισχυρίζονται οι δημιουργοί του.
