Vectに身代金を支払うな――データはおそらく既に削除されている

Trivy および LiteLLM のサプライチェーン侵害の波による被害を受け、データ復旧を期待して Vect に身代金を支払った組織の多くは、あまり多くを取り戻していないと Check Point Research は述べています。これは Vect が使用するランサムウェアが実際にはランサムウェアではなく、128KB を超えるあらゆるファイルを破壊するワイパーだからです。

Vect のリークサイトは 1 月以来 25 の組織をリストアップしており、サプライチェーン攻撃からの恐喝が始まった 3 月以来 4 つです。しかし、リストされている組織のうち何個（あるいはそもそも）が Trivy および LiteLLM 関連の侵害に関連しているかは不明です。

「4 月 15 日、このグループは 2 つの大きな被害者である Guesty（700GB）と S&P Global（250GB）を主張しており、これは以前の TeamPCP 侵害に関連していると言われています」と、Check Point Research のグループマネージャーである Eli Smadja が The Register に語りました。「ただし、これらの主張は独立して検証することはできず、これらのケースのうち何個が身代金の支払い成功につながったか、あるいは支払いなしでデータが流出したかについては、確認された可視性がありません。」

Guesty も S&P Global も The Register の問い合わせに応答しませんでした。

Vect は TeamPCP と提携してデータを流出させ、進行中の攻撃の被害者を恐喝している犯罪グループの 1 つです。この攻撃は Trivy、LiteLLM、Checkmarx、および Telnyx に感染しています。 

セキュリティおよび開発者ツールを最初に侵害し、自己増殖型の認証情報盗難マルウェアで感染させた後、TeamPCP と Vect は BreachForums 上で新しいパートナーシップを発表し、自慢しました。「我々はさらに大規模なサプライチェーン操作を成し遂げるだろう。これらの侵害を壊滅的なフォローアップランサムウェアキャンペーンに繋ぎ合わせるのだ。」

さらに Vect はデータリークサイト自体とのパートナーシップを発表し、登録済みの BreachForums ユーザーなら誰でも Vect のランサムウェア、交渉プラットフォーム、および Web サイトを使用できると述べました。

そこで Check Point の研究者は BreachForums アカウントを開設し、パネルとランサムウェアビルダーへのアクセスを取得して、ギャングのマルウェアを分析しました。彼らはランサムウェア・アズ・ア・サービス グループがコード作成にあまり熟練していないことをすぐに判断しました。Check Point の研究チームが犯人たちを説明する方法は「技術的には洗練されていない」「素人的な実行」であり、彼らはデータワイパーを誤って書いてしまったようです。 

ランサムウェアが本来すべき大きなファイルを暗号化する代わりに、Vect 2.0 ランサムウェアは 131,072 バイト（128 KB）を超えるあらゆるファイルを永久に破壊します。

「攻撃者を含め、誰にとっても完全な復旧は不可能です」とセキュリティアナリストは記しました。 「わずか 128 KB のしきい値では、これは事実上、意味のあるデータを含むあらゆるファイル（VM ディスク、データベース、ドキュメント、バックアップなどのエンタープライズ資産を含む）の ワイパーになります。CPR はこの欠陥がすべての公開利用可能な VECT バージョンに存在することを確認しました。」

広告通り、このランサムウェアは Windows、Linux、ESXi バリアントを含みます。すべては libsodium に基づいて構築された同じ暗号化設計、同じファイルサイズしきい値、同じ 4 チャンク ロジック、および同じ欠陥を共有しています。つまり、暗号化実装は 128 KB を超えるあらゆるファイルに対して 4 つの復号化 nonce のうち 3 つを破棄します。

nonce 処理の欠陥に加えて、マルウェア分析者は、すべてのランサムウェアバリアント全体で「複数の」その他のバグと設計上の失敗を発見したと述べています。これは、犯人たちでさえもコードをバイブさせて成功した操作に至ることができないことを示唆しています。研究者が指摘するように、「著者は専門的なランサムウェアツールが備えるべき機能を知っていますが、それらを正しく、またはまったく実装することに明らかに苦労していました。」®