VECT 2.0ランサムウェアが企業環境に対する深刻な脅威として浮上しています。その理由は恐喝戦術だけでなく、実装上の重大なコーディングエラーにもあります。
最新の分析によると、VECT 2.0のWindows実装には致命的な欠陥が含まれており、多くの場合ファイルを永続的に破損させることが明らかになっています。
このエラーが意味するのは、組織が身代金を支払ったとしても、攻撃者自身の復号ツールでは損傷したデータを確実に復元できないということです。
このランサムウェアは身代金目的で人質に取ったデータを安全に扱えないため、意図せずしてワイパーマルウェアとして機能してしまうことがあります。
このマルウェアは、除外リストベースのハードコードされたターゲティングモデルに依存しています。特定のドキュメント形式を狙うのではなく、アクセス可能なすべてのパスをスキャンし、保護されたシステムディレクトリと .exe、.dll、.sys などの実行ファイルのみをスキップします。
この広範なアプローチにより、データベース、仮想ディスク、バックアップなど、業務上重要なデータが改ざんの危険に大きくさらされることになります。
VECTがファイルを処理する順序が、インシデント対応における最初の混乱を生み出しています。このランサムウェアは、実際の暗号化処理が始まる前に .vect 拡張子を付加してファイルをリネームします。
そのため、侵害されたシステム上で .vect ファイルが見つかったとしても、暗号化が正常に完了しているとは限りません。ファイルはまだ平文のままであったり、部分的に変更されていたり、あるいは構造自体が壊れている場合もあります。
メタデータの欠如:VECTはディスク上にほとんどメタデータを残さないため、復旧作業が困難になります。保存されるのは最後のChaCha20-IETFノンスを含む12バイトのトレーラーのみで、元のファイルサイズ、バージョンフィールド、認証タグといった重要な情報が一切記録されていません。
ノンス消失のバグ:128KBを超えるファイルの場合、ランサムウェアはデータを4つのセクションに分割します。各セクションの32KBブロックをそれぞれ異なるノンスで暗号化しますが、
ディスクに保存されるのは最後のノンスのみです。残りの3つのブロックは、攻撃者の復号ツールでも永続的に復元不能となります。
こうした複合的なバグは、インシデント対応をきわめて困難にしています。VECT 2.0に感染したシステムでは、均一に暗号化されたファイルが整然と生成されるわけではありません。
代わりに対応担当者が直面するのは、未変更のファイル、部分的に暗号化されたデータ、そして永続的に破損したレコードが混在するカオス的な状況です。
従来の復号戦略は攻撃者が基本的な暗号化ルールに従っていることを前提としていますが、VECTはその前提を完全に無視しています。
攻撃者の復号ツール自体が根本的に機能不全に陥っているため、組織はファイル操作が実行される前に脅威をブロックすることを最優先事項とすべきです。
セキュリティチームは、攻撃チェーンの早い段階でランサムウェアの実行パスを遮断し、エンドポイントやクラウドワークロード全体への広範なファイル改ざんを防止することに注力する必要があります。
アクティブな侵害インシデントに対応する際、復号を攻撃者に依存することは現実的な戦略とはいえません。Morphisecなどのセキュリティプロバイダーは、VECTによる攻撃の事後処理に適応型リカバリー技術の活用を推奨しています。
変更された各ファイルの具体的な状態を独自に分析することで、専門的なリカバリープラットフォームはマルウェアの欠陥ある暗号化ロジックに頼ることなく、対象となるデータを部分的に復元できる場合があります。
翻訳元: https://cyberpress.org/vect-2-0-corrupts-files/
