Критичен дефект превръща атаката в масово „изтриване“ на файлове
Изследователи предупреждават за сериозен проблем в новата ransomware заплаха VECT 2.0, която вместо да криптира данните на жертвите, в много случаи ги унищожава без възможност за възстановяване.
Причината е в дефектен механизъм за управление на криптографските nonce стойности, който прави по-голямата част от засегнатите файлове необратимо загубени – дори за самите атакуващи.
Какво представлява проблемът с nonce стойностите
При криптиране на големи файлове VECT 2.0 ги разделя на части (chunks), като за всяка част се използва nonce – критичен параметър в криптографските алгоритми.
Грешката в реализацията е следната:
- всички части използват един и същ буфер в паметта за nonce
- всяка нова стойност презаписва предишната
- накрая се записва само последният nonce
В резултат:
- само последната част (~25%) от файла може да бъде декриптирана
- останалите 75% са загубени завинаги
- липсва информация за възстановяване дори от страна на атакуващите
Дори плащането на откуп не помага
Класическият модел на ransomware разчита на възстановяване на данните след плащане. При VECT 2.0 това не е възможно.
Ключовият проблем:
- липсващи nonce стойности не се съхраняват
- не се изпращат към атакуващите
- няма технически начин за реконструкция
Това превръща VECT 2.0 от ransomware в data wiper с елемент на изнудване.
Масов ефект върху корпоративни данни
Според анализа, прагът за „големи файлове“ е едва 128 KB, което означава, че практически всички ценни корпоративни данни попадат в рисковата категория.
Засегнати типове данни:
- виртуални машини (VM дискове)
- бази данни
- резервни копия
- документи и таблици
- имейл архиви
С други думи – почти всичко, което една организация би искала да възстанови, може да бъде напълно унищожено.
Връзка с TeamPCP и supply chain атаки
Операторите на VECT 2.0 са обявили партньорство с групата TeamPCP, известна с мащабни supply chain атаки, включително срещу:
- Trivy
- LiteLLM
- Telnyx
- Европейската комисия
Тази връзка подсказва стратегия за:
- използване на вече компрометирани среди
- разпространение на ransomware чрез доверени канали
- разширяване на атаката към нови организации
Разпространение и модел на работа
VECT 2.0 се рекламира активно в хакерски форуми като BreachForums, като използва модел „ransomware-as-a-service“:
- набиране на афилиати
- разпространение на ключове за достъп
- координирани атаки чрез партньорски групи
Това увеличава скоростта и обхвата на разпространение.
Кросплатформен риск
Изследователите потвърждават, че дефектът присъства във всички версии на VECT 2.0:
- Windows
- Linux
- ESXi
Това означава, че цялата инфраструктура на една организация може да бъде засегната едновременно, независимо от платформата.
Eскалация от ransomware към разрушителни атаки
Случаят с VECT 2.0 показва тревожна тенденция – границата между ransomware и destructive malware изчезва.
Дори ако дефектът е неволен, резултатът е:
- максимален натиск върху жертвите
- пълна загуба на данни
- невъзможност за възстановяване
Това променя логиката на атаките – от „плати, за да си върнеш данните“ към „данните ти вече не съществуват“.
Препоръки към организациите
Предвид риска, експертите препоръчват:
- изолиране и защита на backup системите
- съхранение на резервни копия офлайн
- мониторинг за аномалии в криптиране на файлове
- проверка на supply chain зависимости
- сегментиране на инфраструктурата
Hай-опасният ransomware е този, който не може да върне данните
VECT 2.0 демонстрира, че дори дефект в кода може да доведе до катастрофални последици за жертвите, превръщайки една атака в необратимо събитие.
Това е ясен сигнал, че организациите трябва да планират не само защита срещу криптиране, а и срещу пълна загуба на данни.
