TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

致命的な欠陥がVectランサムウェアをデータ破壊型ワイパーに変えてしまう

Vect 2.0ランサムウェアは、大きな侵害されたファイルを単に暗号化するのではなく完全に消去してしまうことが判明しており、攻撃者であっても復旧が不可能になっています。

これは暗号化実装における致命的な欠陥が原因です。おそらく意図しないコーディングエラーであるこのバグは、Vectランサムウェアの最新バージョンを調査していたCheck Point Researchによって発見されました。

Vectはランサムウェア・アズ・ア・サービス(RaaS)プログラムで、2025年12月にロシア語のサイバー犯罪フォーラムで初めて登場し、2026年初期にセキュリティ研究者によって発見されました

このグループは、BreachForums上でTeamPCPとのパートナーシップを発表したことで急速に注目を集めました。TeamPCPは、Trivy、Checkmarx’ KICS、LiteLLMTelnyxなど、2026年3月と4月の複数のサプライチェーン攻撃の背後にある脅威グループです。

さらに、Check Pointは、Vectが同じくBreachForumsとのパートナーシップを発表し、登録されたすべてのフォーラムユーザーがアフィリエイトになり、Vectランサムウェア、交渉プラットフォーム、リークサイトを運用に使用する権限が与えられることを約束していると報告しました。

「2026年4月現在、このパートナーシップは完全に発効している」とCheck Pointの研究者は、4月28日に発表された新しいレポートで指摘しています。

Vect 2.0:不十分な実装の下で崩壊するRaaS野心

ゼロから構築されたとされるVectは、有名になった後の2026年2月にランサムウェアロッカーのバージョン2.0を立ち上げました。C++で書かれたロッカーは、WindowsおよびLinuxホスト、ならびにVMware ESXiハイパーバイザーをサポートしています。このグループは、3つのロッカーすべてをゼロから構築したと主張しています。

「さらに、フォーラムの投稿では、さまざまなクラウドストレージサービスをターゲットとした専用の『クラウドロッカー』が、近い将来にクイズやパズルチャレンジでスキルを証明するアフィリエイトに利用可能にされることが言及されている」とCheck Pointの研究者は指摘しています。

BreachForumsを介してVectランサムウェアビルダーを取得した後、研究チームはWindows、Linux、およびESXi用の3つのペイロードを分析しました。

彼らは、131,072バイト(128 KB)を超えるすべてのファイルが暗号化されるのではなく、完全に破壊されていることを発見しました。

これは、4つの復号化ノンス(各暗号通信セッションが一意であることを保証するために認証プロトコルで使用されるワンタイムシークレット番号)の3つを破棄するランサムウェアの暗号化実装における致命的な欠陥が原因です。

具体的には、研究者たちは、ランサムウェア暗号化システムで使用される暗号は、グループの初期の製品広告と一部の脅威インテリジェンスレポートで述べられているChaCha20-Poly1305 AEADではなく、認証のない生のChaCha20-IETF(RFC 8439)であると述べています。

「Poly1305 MACと整合性保護がない。これにより、事実上、Vectは有意なデータを含むほぼすべてのファイル、仮想マシン(VM)ディスク、データベース、ドキュメント、バックアップなどのエンタープライズアセットを含むワイパーになります」とCheck Pointの研究者は述べています。

研究者はまた、このフローは公開されているすべてのVectバージョンと、Windows、Linux、ESXiの3つのターゲットプラットフォーム全体に存在することを確認しました。

すべてのバリアントは、libsodiumに基づいて構築された同一の暗号化設計を共有し、同じファイルサイズしきい値、同じ4チャンク論理、および同じノンス処理フロー全体を備えており、「プラットフォーム全体に移植された単一のコードベースを確認している」とレポートに記載されています。

さらに、Check Pointの研究者は、Vectランサムウェアのすべてのバリアント全体で複数の追加のバグと設計の失敗を特定しました。自己キャンセルする文字列難読化と永続的に到達不可能な分析防止コードから、改善しようとしていた暗号化パフォーマンスを積極的に低下させるスレッドスケジューラまで。

「Vect 2.0は、マルチプラットフォームカバレッジ、アクティブなアフィリエイトプログラム、TeamPCPパートナーシップ経由のサプライチェーン配信、および洗練されたオペレータパネルを備えた野心的な脅威プロファイルを提示しています。実際には、技術実装は提示から大きく劣っている」とCheck Pointレポートは結論付けています。

翻訳元: https://www.infosecurity-magazine.com/news/critical-flaw-vect-ransomware-data/

ソース: infosecurity-magazine.com
#RaaS #TeamPCP #Vect #サイバー脅威 #セキュリティ研究 #データ破壊 #マルウェア分析 #ランサムウェア #ワイパー #暗号化欠陥

関連記事

医療機関の4分の1が医療機器へのサイバー攻撃を報告

ShinyHuntersの主張を受けてMedtronicがデータ侵害を確認

ランサムウェア勢力争い:0APTとKryBitグループが激突