Vect 2.0 Ransomware‑as‑a‑Service(RaaS)は、最新のハイブリッドインフラストラクチャ全体でWindows、Linux、およびVMware ESXi環境を暗号化できるマルチプラットフォーム脅威へと急速に進化しています。
このグループは古典的なアフィリエイトモデルを運営しており、ランサムウェアをレンタルし、身代金支払いの一部と引き換えにパートナーにTORベースのインフラストラクチャを提供しています。
採用インセンティブと言語設定に基づいて、その運営者はロシアやベラルーシなどの独立国家共同体(CIS)に拠点を置いていると強く疑われています。
Vectは最初2025年後半に出現しましたが、現在「Vect 2.0」として生まれ変わりました、アップグレードされたツールとインフラストラクチャを備えた、より成熟した専門的なRaaS操作を示しています。
2026年2月中、Vect 2.0は分析されたランサムウェアインシデントの約1.6%を占めており、運用テンポと高度な点でNovaやTenguのような新興の中層プレイヤーの中にすでに位置付けられています。
三重脅迫とマルチプラットフォームペイロード
Vect 2.0は明確に「流出、暗号化、脅迫」モデルを宣伝しており、データ盗難、環境全体の暗号ロック、およびデータ流出サイト(DLS)での公開辱めを組み合わせて、被害者に支払いを強要しています。
このグループは、Windows用のsvchostupdate.exeおよびLinuxおよびESXiシステム用のencesxi.elfを含む、カスタムCベースのペイロードを維持しており、エンタープライズエンドポイントおよび仮想化インフラストラクチャ全体の広範なカバレッジを可能にしています。
ランサムウェアは重要なプロセスを終了でき、バックアップを削除または禁止し、.vect拡張子を使用してタグ付けされた暗号化ファイルで大規模にデータを暗号化できます。
このマルチプラットフォーム設計により、アフィリエイトは単一のキャンペーンでファイルサーバ、ドメインコントローラ、およびハイパーバイザーを攻撃でき、ブラスト範囲と復旧の複雑さを大幅に増加させています。
2026年2月28日現在、Vect 2.0のDLSは20の積極的な被害者をリストしており、6つの組織のデータはすでに公開され、14組織がさらに交渉中です。
外部トラッカーは18の被害者を主張していることが観察されましたが、グループ自身のアーカイブと削除ポリシーのため、DLSは最も正確なカウントを提供しています。
被害者は複数の地域に及び、ブラジルと米国はそれぞれ4件、インド3件を記録し、南アフリカ、エジプト、スペイン、コロンビア、イタリア、ナミビアの追加組織があります。
対象セクターは製造業、教育、医療、およびテクノロジーを含み、重要な運用または個人データを持ち、しばしばダウンタイムの許容度が限定されている組織に焦点を当てています。
- 初期アクセスのための有効なアカウントと弱い、または盗まれた認証情報(T1078)。
- RDPやVPNなどの外部リモートサービス(T1133)。
- ローダーを配信するフィッシング活動または認証情報を盗む(T1566)。
- 実行のためのコマンドおよびスクリプティングインタプリタ(T1059)および永続性のためのスケジュールタスク(T1053)。
横方向の移動のために、彼らはSMB管理共有(T1021.002)およびWindows Remote Management(WinRM)(T1021.006)を使用し、発見技術はデータをステージングして最終的な暗号化フェーズを開始する前にサービス、システム、およびファイル共有を列挙しています。
注目すべき特徴は、bcdedit操作を通じて達成された、セキュリティ制御を回避するためのセーフモードブートの使用であり、防御が削減された環境へのリブートを行っています(T1562.009)。
コマンド・アンド・コントロールおよびデータ流出は、暗号化されたTORチャネル上のWebプロトコルに依存しており、少なくとも1つの履歴的なクリアネットIP(158.94.210.11:8000)が初期インフラストラクチャに関連しています。
ダークウェブプレゼンスとRaaSモデル
Vect 2.0はTORのみのDLSおよび交渉ポータルを運営し、露出を減らすためにクリアネットプレゼンスを拒否しています。
被害者およびアフィリエイトとの通信はTOXを経由して処理され、すべての身代金支払いは金銭的匿名性を最大化するためにMonero(XMR)で要求されます。
RaaSベースのプログラムには、アフィリエイト向けの250ドルのエントリー手数料が含まれており、CISベースの申請者の場合は免除されます。これは、制御されたアクセスのために一意のチャットIDを使用するプライベート「Vect Secure Chat」システムによってサポートされています。
グループはまた、6か月以上前のケースが解決後も掲載されたままであるというアーカイブポリシーを実施し、被害者に対する長期的なプレッシャーと評判上の損害を維持しています。
防御者は、履歴的なIP 158.94.210.11:8000、ビジネスに適切な場合のTORアクセス、および特定されたWindowsおよびESXiペイロード名(svchostupdate.exe、encesxi.elf)を含む、既知の侵害指標のブロックを優先させるべきです。
bcdedit変更、セーフモードリブート、積極的なセキュリティツール終了、および異常なリモートアクセスパターンの継続的な監視は、Vect 2.0アクティビティの早期信号を提供できます。
強力な多要素認証、強化されたESXi管理インターフェース、セグメント化されたネットワーク、および不変のオフラインバックアップは、初期侵害と成功した侵入の影響の両方を制限するための重要なコントロールのままです。
翻訳元: https://gbhackers.com/vect-2-0-raas-expands/
