サイバー犯罪の状況は「組立ライン」型の恐喝へ確実に進化しました。Vect集団は確立した二重のパートナーシップにより、攻撃の実行を根本的に簡素化しながら、その到達範囲を急速に拡大しています。BreachForumsおよびTeamPCPシンジケートと提携することで、これらの敵は実質的にランサムウェア配布をターンキーインフラストラクチャと継続的な侵害されたアクセスポイントの流れを備えた大量配信サービスに変質させています。
Vectは2025年後半にアフィリエイトモデルに基づくランサムウェア・アズ・ア・サービス(RaaS)事業として登場しました。2026年初頭までに、運営者はアーキテクチャを強化し、参加者向けの洗練されたマルチティア体系を開始していました。このグループは二重恐喝戦略を採用しており、まず機密データを流出させ、次に公開の脅威の下でシステムを暗号化します。プロジェクトの組織的質は、ベテラン運営者、おそらく以前のキャンペーンのベテランの手による可能性を示唆しています。
この新しい戦略は2つの柱に支えられています。第1の柱はBreachForumsで、数十万人の住人を有する一流の英語圏の地下リポジトリです。このプラットフォームは単なる盗まれたデータのマーケットプレイスから、侵入の実際的な発射台へ転換しています。参加者はアフィリエイトキーを提供され、モネロベースの支払いシステムと、収益が活動に応じてスケーリングされる「ゲーミフィケーション」要素を通じてインセンティブを与えられています。その結果、フォーラムユーザーは誰もが積極的な脅威行為者へ転換できるようになりました。
第2の柱はTeamPCPで、2026年3月にソフトウェアサプライチェーンを積極的に破壊したグループです。これらの略奪者はTrivyやLiteLLMを含む一般的なユーティリティおよびCI/CDコンポーネントに悪意のあるコードを注入しました。これらの浸透を通じて、APIキー、SSH認証情報、クラウドサービストークンを収集しました。これらのインテリジェンスは現在Vectアフィリエイトに流出され、悪用されています。
データ漏洩保護
このパラダイムシフトは周辺防御のロジックを根本的に変えます。従来、敵はフィッシングまたは脆弱なサービスを通じて周辺防御を突破しました。現在のモデルでは、アクセスは開発およびビルドプロセスを通じてインフラストラクチャ内から確保されています。規模も同様に前例のないもので、単一の侵害されたサプライチェーンにより、潜在的に数千の組織が危険にさらされています。
技術的には、Vectは他の集団から流出したソースコードの派生物ではなく、独自のC++コードを使用しています。暗号化はChaCha20-Poly1305アルゴリズムにより促進され、攻撃を加速させるために断続的な暗号化を採用しています。マルウェアはWindows、Linux、VMware ESXiと互換性があり、防御メカニズムを無効化し、SMBおよびWinRMを介して横方向に伝播する能力を備えています。暗号化フェーズの前に、ソフトウェアはセキュリティサービスとバックアッププロセスを終了します。
Vectのリークサイトには既にGuestey、USHA International、S&P Globalを含む初期の被害者が掲載されていますが、一部の主張は独立した検証を待機しています。1つのケースでは、グループはTeamPCPのキャンペーンを通じて流出したと主張される数百ギガバイトのデータの窃盗を主張しています。
大衆向けフォーラム、専門的なアクセス提供者、および高度な恐喝プラットフォームの融合は、この規模でこれまで見られなかったモデルを生み出します。この方法論が継続する場合、サイバー犯罪への参入障壁はさらに低下し、攻撃はより頻繁かつ徐々に不規則なものになります。専門家は組織に対し、影響を受けたツールを使用するシステム内の認証情報を直ちにローテーションし、CI/CD依存関係を精査し、内部ネットワークプロトコルを制限するよう促しています。仮想化インフラストラクチャと暗号化前の準備を示す異常な活動の監視に対して特に注意を払うべきです。
