「新しい」VECT 2.0ランサムウェアは本質的にクロスプラットフォーム型のデータワイパーで、ほとんどのエンタープライズファイルを回復用に暗号化するのではなく、完全に破壊します。
131,072バイト(128KB)を超える任意のファイルに対して、VECTは4つの異なるランダムに生成されたChaCha20-IETFノンスを使用して4つの個別チャンクを処理しますが、最後のノンスのみをファイルの末尾のディスクに書き込みます。
最初の3つのノンスは生成・使用された後、ローカルに保存されたり流出したりすることなく破棄されるため、最初の3つの暗号化チャンクは、攻撃者自身を含め、誰にとっても数学的に回復不可能になります。
わずか128KBの閾値では、この動作はVMディスクイメージ、データベースファイル、ドキュメント、アーカイブ、バックアップを含む、エンタープライズで重要なほぼすべてのファイルタイプに影響を与えます。
Check Point Research(CPR) Windows、Linux、およびVMware用のVECT 2.0サンプルを分析しESXi、3つのプラットフォーム全体で共有されるコア暗号化ルーチンに根本的な設計欠陥を発見しました。
この優位なクラスの「大型」ファイルに対して、VECT 2.0は回復可能なランサムウェアではなく、身代金メモ付きの破壊的なワイパーとして機能します。つまり、身代金を支払った被害者は、重要データの大部分について機能的な復号化ツールを受け取ることができません。
VECT 2.0ランサムウェアが削除
3つのすべてのVECT 2.0ロッカーは静的にコンパイルされたC++バイナリで、同じlibsodiumベースの暗号化エンジンで構築され、同一のファイルサイズ閾値、4チャンクレイアウト、およびノンス処理ロジックを備えています。
さらに、VECTはBreachForums自体とのパートナーシップを発表し、すべての登録フォーラムユーザーがアフィリエイトになり、VECTランサムウェアを使用できるようになることを約束しました。
Windows、Linux、およびESXiバリアントは、128KBを超える各ファイルをファイルサイズの0、¼、½、¾の4つのオフセットに分割し、各位置で最大32KBを暗号化してから、最後のチャンクに対応する単一の12バイトノンスのみをファイルの末尾に追加します。
その結果、各大型ファイルの4分の3は欠落したノンスで暗号化されたままであり、これら4つのセグメント外のバイトは平文のままであり、読み取り可能で回復不可能なコンテンツが混在した破損した混合物が生じます。
CPRはまた、2.0リリース前に野生で見られた以前のVECTビルドが同じ4チャンクループ、共有ノンスバッファ、および単一のEOFノンス書き込みを示していることを確認し、欠陥がその操作の最初に観察された展開以来存在し、修正されたことがないことを示しています。
公式報告書やVECT自身の広告さえもが、ロッカーをChaCha20-Poly1305 AEAD暗号化を使用していると誤って説明しています。
CPRは、マルウェアが実際にはlibsodiumのcrypto_stream_chacha20_ietf_xorを介して生のChaCha20-IETFを使用し、32バイトキーと12バイトノンスを備え、暗号文にPoly1305認証タグを追加していないことを示しています。
これはメッセージ認証コードがなく、整合性保護がまったくないことを意味します。ディスク上のレイアウトは、認証暗号化スキームではなく、単に暗号文とノンスです。
VECTはLinuxおよびESXiバリアントで–fast、–medium、–secureなどの「暗号化速度」フラグも公開しており、パフォーマンスチューニングのための異なるカバレッジレベルを示唆しています。
実際には、これらのオプションは解析されて保存されますが、使用されません。すべての実行は、オペレーターの選択に関係なく同じ128KB閾値と32KBチャンクサイズを適用し、プロジェクトのプロフェッショナルなマーケティングと実際の実装の間のギャップを強化します。
エンジニアリングが弱いRaaS操作
運用上、VECTはランサムウェア・アズ・ア・サービス(RaaS)プログラムとして自らを位置付け、2025年後半にロシア語フォーラムで最初に宣伝され、2026年初頭までに少なくとも2つの被害者に関連付けられました。
暗号化エンジンは、CPU数階層化乗数から導出された固定1:7スキャナー対暗号化器比率でワーカースレッドを生成します:最大4つのCPUを持つマシンの場合は×8、5-8CPUの場合は×6、それ以降は×4、合計256にハードキャップされています。
この積極的な拡張モデルにもかかわらず、公開リークインフラストラクチャは現在少数の被害者のみをリストしており、コアロッカーはまだ到達不可能なアンチ分析コードと自己キャンセルする文字列「難読化」から、暗号化パフォーマンスを低下させるオーバースレッドスケジューラーまで、明らかな技術的な誤りを含めて出荷されています。
グループはその後、サプライチェーンアクターTeamPCPおよびBreachForumsとのパートナーシップを発表し、すべての登録フォーラムメンバーがVECTのパネル、ロッカー、交渉プラットフォーム、およびリークサイトを使用してアフィリエイトとして機能できることを約束しました。
セキュリティ研究者は現在、VECT 2.0による攻撃を受けた組織は、身代金の支払いがほとんどの破壊されたファイルを取り戻すことができないため、回復可能なランサムウェアケースではなくデータワイピングインシデントとして扱うべきであると警告しています。
マルウェアの設計により、大型ファイルが一度ヒットすると損害は永続的なものになるため、ディフェンダーは堅牢なオフラインバックアップ、テスト済みのリストア手順、および早期検出コントロールに焦点を当てるよう促されています。
翻訳元: https://gbhackers.com/vect-2-0-ransomware-wipes/
