🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os caçadores de ameaças estão alertando que a operação cibercriminosa conhecida como VECT 2.0 atua mais como um limpador do que como um ransomware devido a uma falha crítica em sua implementação de criptografia nas variantes do Windows, Linux e ESXi que torna a recuperação impossível até mesmo para os atores da ameaça.
O fato de o armário do VECT destruir permanentemente arquivos grandes em vez de criptografá-los significa que mesmo as vítimas que optam por pagar o resgate não podem recuperar seus dados, pois as chaves de descriptografia são descartadas pelo malware durante o tempo em que a criptografia ocorre.
“VECT está sendo comercializado como ransomware, mas para qualquer arquivo com mais de 131 KB – que é a maior parte do que as empresas realmente se preocupam – ele funciona como uma ferramenta de destruição de dados”, disse Eli Smadja, gerente de grupo da Check Point Research, em comunicado compartilhado com The Hacker News.
"Os CISOs precisam entender que, em um incidente VECT, pagar não é uma estratégia de recuperação. Não existe um descriptografador que possa ser entregue, não porque os invasores não queiram, mas porque as informações necessárias para construir um foram destruídas no momento em que o software foi executado. O foco deve estar na resiliência: backups offline, procedimentos de recuperação testados e contenção rápida - não na negociação."
VECT (agora rebatizado como VECT 2.0) é um esquema de ransomware como serviço (RaaS) que lançou seu programa de afiliados pela primeira vez em dezembro de 2025. Em seu site dark, o grupo exibe a mensagem “Exfiltração/Criptografia/Extorsão”, destacando seu modelo de negócios de ameaça tripla.
De acordo com uma análise publicada pelo Conselho de Segurança de Dados da Índia (DSCI) no mês passado, uma taxa de inscrição de US$ 250, pagável em Monero (XMR), é exigida para novos afiliados. A taxa é dispensada para candidatos de países da Comunidade de Estados Independentes (CEI), indicando uma tentativa de recrutar indivíduos da região.
Nas últimas semanas, o grupo estabeleceu uma parceria formal com o mercado de crimes cibernéticos BreachForums e o grupo de hackers TeamPCP, em um movimento que visa reduzir ainda mais a barreira de entrada para operadores de ransomware e incentivar afiliados a lançar ataques usando dados anteriormente roubados como armas.
“A convergência do roubo de credenciais em grande escala da cadeia de suprimentos, uma operação RaaS em maturação e a mobilização em massa de fóruns da dark web representam um modelo sem precedentes de implantação de ransomware industrializado”, observou Dataminr no início deste mês.
Embora a colaboração possa ser um sinal do que está por vir, seu site de vazamento de dados atualmente lista apenas duas vítimas, ambas supostamente comprometidas pelos ataques à cadeia de suprimentos do TeamPCP. Além do mais, ao contrário das afirmações iniciais do grupo de usar ChaCha20-Poly1305 AEAD para criptografia, a análise da Check Point descobriu que ele usa uma cifra mais fraca e não autenticada, sem proteção de integridade.
Mas não termina aí, pois os armários baseados em C++ para todas as três plataformas sofrem de uma falha fundamental de design que faz com que qualquer arquivo maior que 131.072 bytes seja destruído de forma permanente e irrecuperável, em vez de ser criptografado.
“O malware criptografa quatro partes independentes de cada ‘arquivo grande’ usando quatro nonces aleatórios de 12 bytes recém-gerados, mas anexa apenas o nonce final ao arquivo criptografado específico no disco”, explicou Check Point. "Os três primeiros nonces, cada um necessário para descriptografar seu respectivo pedaço, são gerados, usados e descartados silenciosamente. Eles nunca são armazenados no disco, no registro ou transmitidos ao operador."
"Como o ChaCha20-IETF requer a chave de 32 bytes e o nonce de 12 bytes correspondente exato para reverter cada pedaço, os primeiros três quartos de cada arquivo grande são irrecuperáveis por qualquer pessoa, incluindo o operador de ransomware, que não pode fornecer uma ferramenta de descriptografia funcional mesmo após o pagamento do resgate. Como a grande maioria dos arquivos operacionalmente críticos excede esse limite de 'tamanho grande', o VECT 2.0 funciona na prática como um limpador de dados com uma fachada de ransomware."
A versão do ransomware para Windows, além de criptografar arquivos em armazenamento local, removível e acessível pela rede, apresenta um conjunto abrangente de anti-análise direcionado a 44 ferramentas específicas de segurança e depuração, juntamente com um mecanismo de persistência em modo de segurança e vários modelos de script de execução remota para propagação lateral.
Quando "--force-safemode" está ativo, o armário configura a próxima inicialização no Modo de Segurança do Windows e grava seu próprio caminho executável no Registro do Windows para que seja executado automaticamente na inicialização subsequente no Modo de Segurança, onde o sistema operacional é iniciado em um estado básico usando um conjunto limitado de arquivos e drivers.
Além disso, embora a variante do Windows implemente mecanismos de detecção de ambiente para passar despercebidos, eles nunca são invocados, permitindo que as equipes de segurança que executam os artefatos evitem o acionamento de qualquer resposta evasiva. A variante ESXi, por outro lado, impõe cerca geográfica e testes anti-depuração
O fato de o armário do VECT destruir permanentemente arquivos grandes em vez de criptografá-los significa que mesmo as vítimas que optam por pagar o resgate não podem recuperar seus dados, pois as chaves de descriptografia são descartadas pelo malware durante o tempo em que a criptografia ocorre.
“VECT está sendo comercializado como ransomware, mas para qualquer arquivo com mais de 131 KB – que é a maior parte do que as empresas realmente se preocupam – ele funciona como uma ferramenta de destruição de dados”, disse Eli Smadja, gerente de grupo da Check Point Research, em comunicado compartilhado com The Hacker News.
"Os CISOs precisam entender que, em um incidente VECT, pagar não é uma estratégia de recuperação. Não existe um descriptografador que possa ser entregue, não porque os invasores não queiram, mas porque as informações necessárias para construir um foram destruídas no momento em que o software foi executado. O foco deve estar na resiliência: backups offline, procedimentos de recuperação testados e contenção rápida - não na negociação."
VECT (agora rebatizado como VECT 2.0) é um esquema de ransomware como serviço (RaaS) que lançou seu programa de afiliados pela primeira vez em dezembro de 2025. Em seu site dark, o grupo exibe a mensagem “Exfiltração/Criptografia/Extorsão”, destacando seu modelo de negócios de ameaça tripla.
De acordo com uma análise publicada pelo Conselho de Segurança de Dados da Índia (DSCI) no mês passado, uma taxa de inscrição de US$ 250, pagável em Monero (XMR), é exigida para novos afiliados. A taxa é dispensada para candidatos de países da Comunidade de Estados Independentes (CEI), indicando uma tentativa de recrutar indivíduos da região.
Nas últimas semanas, o grupo estabeleceu uma parceria formal com o mercado de crimes cibernéticos BreachForums e o grupo de hackers TeamPCP, em um movimento que visa reduzir ainda mais a barreira de entrada para operadores de ransomware e incentivar afiliados a lançar ataques usando dados anteriormente roubados como armas.
“A convergência do roubo de credenciais em grande escala da cadeia de suprimentos, uma operação RaaS em maturação e a mobilização em massa de fóruns da dark web representam um modelo sem precedentes de implantação de ransomware industrializado”, observou Dataminr no início deste mês.
Embora a colaboração possa ser um sinal do que está por vir, seu site de vazamento de dados atualmente lista apenas duas vítimas, ambas supostamente comprometidas pelos ataques à cadeia de suprimentos do TeamPCP. Além do mais, ao contrário das afirmações iniciais do grupo de usar ChaCha20-Poly1305 AEAD para criptografia, a análise da Check Point descobriu que ele usa uma cifra mais fraca e não autenticada, sem proteção de integridade.
Mas não termina aí, pois os armários baseados em C++ para todas as três plataformas sofrem de uma falha fundamental de design que faz com que qualquer arquivo maior que 131.072 bytes seja destruído de forma permanente e irrecuperável, em vez de ser criptografado.
“O malware criptografa quatro partes independentes de cada ‘arquivo grande’ usando quatro nonces aleatórios de 12 bytes recém-gerados, mas anexa apenas o nonce final ao arquivo criptografado específico no disco”, explicou Check Point. "Os três primeiros nonces, cada um necessário para descriptografar seu respectivo pedaço, são gerados, usados e descartados silenciosamente. Eles nunca são armazenados no disco, no registro ou transmitidos ao operador."
"Como o ChaCha20-IETF requer a chave de 32 bytes e o nonce de 12 bytes correspondente exato para reverter cada pedaço, os primeiros três quartos de cada arquivo grande são irrecuperáveis por qualquer pessoa, incluindo o operador de ransomware, que não pode fornecer uma ferramenta de descriptografia funcional mesmo após o pagamento do resgate. Como a grande maioria dos arquivos operacionalmente críticos excede esse limite de 'tamanho grande', o VECT 2.0 funciona na prática como um limpador de dados com uma fachada de ransomware."
A versão do ransomware para Windows, além de criptografar arquivos em armazenamento local, removível e acessível pela rede, apresenta um conjunto abrangente de anti-análise direcionado a 44 ferramentas específicas de segurança e depuração, juntamente com um mecanismo de persistência em modo de segurança e vários modelos de script de execução remota para propagação lateral.
Quando "--force-safemode" está ativo, o armário configura a próxima inicialização no Modo de Segurança do Windows e grava seu próprio caminho executável no Registro do Windows para que seja executado automaticamente na inicialização subsequente no Modo de Segurança, onde o sistema operacional é iniciado em um estado básico usando um conjunto limitado de arquivos e drivers.
Além disso, embora a variante do Windows implemente mecanismos de detecção de ambiente para passar despercebidos, eles nunca são invocados, permitindo que as equipes de segurança que executam os artefatos evitem o acionamento de qualquer resposta evasiva. A variante ESXi, por outro lado, impõe cerca geográfica e testes anti-depuração
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vect #2.0 #ransomware #destrói #irreversivelmente #arquivos #com #mais #de #131 #kb #no #windows, #linux, #esxi
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário