🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores estão alertando que o ransomware VECT 2.0 tem um problema na maneira como lida com criptografia, o que leva à destruição permanente de arquivos maiores, em vez de criptografá-los.
VECT foi anunciado em uma das iterações mais recentes do BreachForums, convidando usuários registrados a se tornarem afiliados e distribuindo chaves de acesso por meio de mensagens privadas para aqueles que demonstraram interesse.
A certa altura, os operadores VECT anunciaram uma parceria com o TeamPCP, o grupo de ameaças responsável pelos recentes ataques à cadeia de abastecimento que impactaram Trivy, LiteLLM e Telnyx, bem como um ataque contra a Comissão Europeia.
No anúncio, os operadores VECT declararam que o seu objetivo era explorar as vÃtimas desses comprometimentos da cadeia de abastecimento, implantando cargas úteis de ransomware nos seus ambientes, bem como conduzir ataques maiores à cadeia de abastecimento contra outras organizações.
Postagem dos operadores VECT no BreachForumsFonte: Check Point
Ransomware defeituoso
Embora isso tenha como objetivo aumentar a velocidade de criptografia para arquivos maiores, como todas as criptografias de blocos usam o mesmo buffer de memória para a saÃda do nonce, cada novo nonce substitui o anterior.
Depois que todos os pedaços forem processados, apenas o último nonce gerado permanecerá na memória e somente aquele será gravado no disco.
Como resultado, a única parte do arquivo que pode ser recuperada são os últimos 25%, sendo as três partes anteriores impossÃveis de descriptografar, pois os nonces foram perdidos.
Esses nonces perdidos também não são transmitidos ao invasor, portanto, mesmo que os operadores do VECT quisessem descriptografar os arquivos das vÃtimas que pagam o resgate, eles não conseguiriam.
Lógica de manipulação de nonce com falhaFonte: Check Point
Embora isso tenha como objetivo aumentar a velocidade de criptografia para arquivos maiores, como todas as criptografias de blocos usam o mesmo buffer de memória para a saÃda do nonce, cada novo nonce substitui o anterior.
Depois que todos os pedaços forem processados, apenas o último nonce gerado permanecerá na memória e somente aquele será gravado no disco.
Como resultado, a única parte do arquivo que pode ser recuperada são os últimos 25%, sendo as três partes anteriores impossÃveis de descriptografar, pois os nonces foram perdidos.
Esses nonces perdidos também não são transmitidos ao invasor, portanto, mesmo que os operadores do VECT quisessem descriptografar os arquivos das vÃtimas que pagam o resgate, eles não conseguiriam.
A nota de resgate VECT 2.0Fonte: Check Point
A Check Point observa que, como a maioria dos arquivos corporativos valiosos, incluindo discos VM, arquivos de banco de dados e backups, têm mais de 128 KB, o impacto do VECT como limpador de dados pode ser catastrófico na maioria dos ambientes.
"Com um limite de apenas 128 KB, menor do que um anexo de e-mail tÃpico ou documento de escritório, o que o código classifica como um arquivo grande abrange não apenas discos VM, bancos de dados e backups, mas também documentos de rotina, planilhas e caixas de correio. Na prática, quase nada que uma vÃtima gostaria de recuperar fica abaixo desse limite", diz Check Point.
Os pesquisadores descobriram que a mesma falha de tratamento de uso único está presente em todas as variantes do ransomware VECT 2.0, incluindo Windows, Linux e ESXi, portanto, o mesmo comportamento de limpeza de dados se aplica a todos os casos.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
VECT foi anunciado em uma das iterações mais recentes do BreachForums, convidando usuários registrados a se tornarem afiliados e distribuindo chaves de acesso por meio de mensagens privadas para aqueles que demonstraram interesse.
A certa altura, os operadores VECT anunciaram uma parceria com o TeamPCP, o grupo de ameaças responsável pelos recentes ataques à cadeia de abastecimento que impactaram Trivy, LiteLLM e Telnyx, bem como um ataque contra a Comissão Europeia.
No anúncio, os operadores VECT declararam que o seu objetivo era explorar as vÃtimas desses comprometimentos da cadeia de abastecimento, implantando cargas úteis de ransomware nos seus ambientes, bem como conduzir ataques maiores à cadeia de abastecimento contra outras organizações.
Postagem dos operadores VECT no BreachForumsFonte: Check Point
Ransomware defeituoso
Embora isso tenha como objetivo aumentar a velocidade de criptografia para arquivos maiores, como todas as criptografias de blocos usam o mesmo buffer de memória para a saÃda do nonce, cada novo nonce substitui o anterior.
Depois que todos os pedaços forem processados, apenas o último nonce gerado permanecerá na memória e somente aquele será gravado no disco.
Como resultado, a única parte do arquivo que pode ser recuperada são os últimos 25%, sendo as três partes anteriores impossÃveis de descriptografar, pois os nonces foram perdidos.
Esses nonces perdidos também não são transmitidos ao invasor, portanto, mesmo que os operadores do VECT quisessem descriptografar os arquivos das vÃtimas que pagam o resgate, eles não conseguiriam.
Lógica de manipulação de nonce com falhaFonte: Check Point
Embora isso tenha como objetivo aumentar a velocidade de criptografia para arquivos maiores, como todas as criptografias de blocos usam o mesmo buffer de memória para a saÃda do nonce, cada novo nonce substitui o anterior.
Depois que todos os pedaços forem processados, apenas o último nonce gerado permanecerá na memória e somente aquele será gravado no disco.
Como resultado, a única parte do arquivo que pode ser recuperada são os últimos 25%, sendo as três partes anteriores impossÃveis de descriptografar, pois os nonces foram perdidos.
Esses nonces perdidos também não são transmitidos ao invasor, portanto, mesmo que os operadores do VECT quisessem descriptografar os arquivos das vÃtimas que pagam o resgate, eles não conseguiriam.
A nota de resgate VECT 2.0Fonte: Check Point
A Check Point observa que, como a maioria dos arquivos corporativos valiosos, incluindo discos VM, arquivos de banco de dados e backups, têm mais de 128 KB, o impacto do VECT como limpador de dados pode ser catastrófico na maioria dos ambientes.
"Com um limite de apenas 128 KB, menor do que um anexo de e-mail tÃpico ou documento de escritório, o que o código classifica como um arquivo grande abrange não apenas discos VM, bancos de dados e backups, mas também documentos de rotina, planilhas e caixas de correio. Na prática, quase nada que uma vÃtima gostaria de recuperar fica abaixo desse limite", diz Check Point.
Os pesquisadores descobriram que a mesma falha de tratamento de uso único está presente em todas as variantes do ransomware VECT 2.0, incluindo Windows, Linux e ESXi, portanto, o mesmo comportamento de limpeza de dados se aplica a todos os casos.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #o #ransomware #vect #2.0 #quebrado #atua #como #um #limpador #de #dados #para #arquivos #grandes
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário