- 新しいランサムウェア変種がデータ破壊ワイパーとして機能することが発見された
- 欠陥のあるnonce処理により、128 KBを超えるファイルが永遠に失われる
- RaaSとしてマーケティングされているにもかかわらず、被害者が支払ってもデータ復元不可
比較的新しいランサムウェア変種であるVECT 2.0は、ダークウェブフォーラムで販売されているが、実は機能が壊れていてエンクリプタではなくデータワイパーとして機能していると、研究者らが警告している。
サイバーセキュリティ企業Check Pointが新しい詳細レポートで説明したところによると、問題はVECT 2.0が「nonce」(データを正しく暗号化し、後で復号化するために必要なランダム値)を処理する方法にあります。マルウェアは大きなファイルをチャンクに分割していますが、各nonceに新しいメモリスペースを使用する代わりに、同じものを再利用して以前のものを上書きしています。
言い換えれば、進むにつれてファイルのほとんどの部分の「鍵」を失っています。ファイルの最後の部分だけが復元でき、残りは永遠に破壊されます。したがって、被害者が身代金要求を支払うことを決めても、ファイルを復元することはできず、脅迫者でさえ望んでもそれを手助けできません。
記事はこちら以下に続く
TeamPCPとのタッグ
さらに悪いことに、エンクリプタが「大きなファイル」と考えるものも間違っています。Check Pointは、今日の基準では笑えるほど小さい128kbを超えるすべてのものが消去されることになると述べています。
「わずか128 KBという閾値で、典型的なメール添付ファイルやオフィスドキュメントより小さく、コードが大きなファイルとして分類するものは、VM ディスク、データベース、バックアップだけでなく、日常のドキュメント、スプレッドシート、メールボックスも含みます。実際のところ、被害者が復元を望むほぼすべてのものがこの境界以下にあります」と、Check Pointが警告しました。
VECTは最近ダークウェブフォーラムで自分自身を宣伝しており、ランサムウェア・アズ・ア・サービス(RaaS)モデルを提供し、アフィリエイトを招待し、Trivy、LiteLLM、Telnyx、および欧州委員会への成功した攻撃によってすでに名を馳せている比較的若い脅迫者であるTeamPCPとタッグを組んでいると報告されています。
