サイバーセキュリティ研究者は、新しいVECT 2.0ランサムウェアの壊滅的な欠陥を発見しました。この欠陥により、被害者のデータは永久に復旧不可能になります。
ランサムウェア・アズ・ア・サービス(RaaS)の運営として宣伝されているにもかかわらず、VECT 2.0は128 KBを超えるファイルを適切に暗号化するのではなく、不可逆的に破壊しています。
感染プロセス中に復号化キーが破棄されるため、身代金を支払った被害者もデータを復旧することができません。
VECT 2.0は、Windows、Linux、VMware ESXiの各バリアントで同じコア暗号化エンジンを共有しています。マルウェアはChaCha20-IETFシファーをその生の形式で使用していますが、重大な暗号学的欠陥に悩まされています。
131,072バイトを超えるファイルの場合、ランサムウェアはデータを4つのチャンクに分割し、それぞれに新しい12バイトのノンスを生成します。しかし、開発者は誤ってこれらのノンスを単一のメモリバッファに上書きするため、最初の3つのノンスが永久に破棄されます。
ディスク上のファイルに追加されるのは最終的なノンスだけです。ファイルの最初の3/4部分が独自のノンスを欠いているため、攻撃者を含めた誰にとっても、数学的に復号化は不可能です。
エンタープライズデータベース、仮想マシンディスク、および標準的なオフィスドキュメントは簡単に128 KBの閾値を超えるため、VECT 2.0は事実上、データワイパーとして機能します。
公開レポートは最初、シファーをChaCha20-Poly1305 AEADと誤認識していましたが、研究者はマルウェアが整合性保護や認証タグを欠いていることを確認しました。
暗号化を遅くする過度に積極的なスレッドスケジューラや自己キャンセルする文字列難読化などのアマチュア的なコーディング誤りにもかかわらず、VECT 2.0はエンタープライズネットワークへの大規模な脅威をもたらします。
マルウェアは1つの協調されたキャンペーンでエンタープライズスタック全体を攻撃するように設計されています:
グループの運営上の野心は、高度に組織化されたチェックポイントです。VECTは最近、BreachForumsサイバー犯罪マーケットプレイスとの正式なパートナーシップを確立し、すべてのフォーラムメンバーを自動的にアフィリエイトにしました。
さらに、VECTはTrivyやCheckmarx KICSのような一般的な開発者ツールへのサプライチェーン攻撃の責任者である脅威アクター、TeamPCPと提携しました。
このサプライチェーンアクセスにより、VECTグループは数千の下流コンシューマーを悪用するための既成のパイプラインを得ています。
データ復旧が不可能であるため、セキュリティチームは身代金交渉戦略よりも厳密なバックアップ分離とエンドポイント監視を優先する必要があります。
翻訳元: https://cyberpress.org/vect-2-0-multi-platform-threat/
