Neuer VECT 2.0 Ransomware zerstört Dateien über 128 KB unter Windows, Linux und ESXi

Die Malware erlangte im März 2026 mehr Sichtbarkeit, als VECT eine Partnerschaft mit TeamPCP bekannt gab, einem Akteur hinter Lieferkettenangriffen, der Malware in weit verbreitete Pakete wie Trivy, Checkmarx KICS, LiteLLM und Telnyx injizierte und damit eine große Anzahl nachgeschalteter Benutzer betraf.

Check Point Research Analysten identifizierten und analysierten alle drei VECT 2.0 Varianten, nachdem sie über ein BreachForums-Konto Zugang zum Builder Panel erhielten.

Ihre Untersuchung ergab, dass VECT auch eine Partnerschaft mit BreachForums selbst eingegangen ist, wodurch jedem registrierten Forenmitglied kostenlos der Einsatz der Ransomware als Affiliate ermöglicht wird. Dieses Open-Affiliate-Modell eliminiert den üblichen Überprüfungsprozess und senkt die Eintrittsbarriere für weniger erfahrene Angreifer erheblich.

Partnerschafts-Release-Seite auf BreachForums (Quelle – Check

Partnerschafts-Release-Seite auf BreachForums (Quelle – Check Point) Die Ransomware ist in C++ geschrieben und zielt über statisch kompilierte ausführbare Dateien auf alle drei Plattformen zu, die eine gemeinsame Codebasis.

Jede Variante verwendet den ChaCha20-IETF (RFC 8439) Cipher über die libsodium kryptografische Bibliothek und benennt verschlüsselte Dateien mit der Endung .vect um, wobei auf jedem kompromittierten System eine Lösegeldforderungsnotiz mit dem Namen !!!READ_ME!!!.txt abgelegt wird.

Trotz seines polierten Builder-Panels ist die technische Ausführung weit . VECT Builder Panel (Quelle – Check Point) Der alarmierendste Aspekt 2.0 ist ein kritischer Programmierfehler, der es effektiv in einen Datenlösch-Tool verwandelt.

Jede Datei, die 131.072 Bytes (128

Jede Datei, die 131.072 Bytes (128 KB) überschreitet, wird nicht ordnungsgemäß verschlüsselt, sondern dauerhaft unrecoverbar gemacht, wodurch genau jene Assets angegriffen werden, ängig sind, um den Betrieb aufrechtzuerhalten.

Der Nonce-Handling-Fehler, der große Dateien zerstört Im Kern des Problems steckt ein grundlegender Fehler darin, wie VECT 2.0 kryptografische Nonces während der Dateiverschlüsselung handhabt. Wenn die Malware eine große Datei verarbeitet, teilt sie diese in vier Blöcke und verschlüsselt jeden davon mithilfe eines neu generierten, zufälligen 12-Byte-Nonce.

Alle vier Verschlüsselungsaufrufe schreiben ihre Nonces in denselben gemeinsamen Speicherpuffer, was bedeutet, dass jeder neue Nonce den vorherigen überschreibt. Bis die Verschlüsselung abgeschlossen ist, überlebt nur der Nonce aus dem vierten und letzten Chunk und wird in die verschlüsselte Datei auf der Festplatte geschrieben.

Verarbeitung großer Dateien, 4 Chunks verschlüsselt

Verarbeitung großer Dateien, 4 Chunks verschlüsselt mit 4 einzigartigen Nonces, einzelner Nonce am Ende (Quelle – Check Point) Da die Entschlüsselung mit ChaCha20-IETF sowohl den Verschlüsselungsschlüssel als auch den exakt passenden Nonce erfordert, um jeden Chunk zu entschlüsseln, sind die ersten drei Viertel jeder großen Datei für jeden unrecoverbar.

Die weggeworfenen Nonces werden niemals auf der Festplatte gespeichert, im Register abgelegt oder an den Server des Angreifers in irgendeinem der drei Varianten gesendet.

Selbst wenn ein Opfer den Lösegeldbetrag vollständig zahlt, kann der Betreiber keinen funktionierenden Entschlüsseler bereitstellen, da die für die Entschlüsselung erforderlichen Nonces im Moment des Überschreibens des Puffers dauerhaft verloren gingen.

Schon bei nur 128 KB erfasst

Schon bei nur 128 KB erfasst dieser Schwellenwert praktisch jeden sinnvollen Dateityp, zu Backups, Tabellenkalkulationen und E-Mail-Archiven.

Verschlüsselungsfehler, ESXi-Version (Quelle – Check Point) Check Point Research bestätigte, dass dieser Fehler in allen drei Plattformvarianten vorhanden ist und der 2.0-Veröffentlichung vorausgeht, da er bereits in früheren Implementierungen existierte, ohne jemals behoben worden zu sein.

Organisationen sollten Offline-Backups, die nicht über Netzwerkfreigaben oder laterale Bewegung erreichbar sind, aufbewahren. Die Überwachung auf Beendigung , plötzliches Löschen auf die .vect-Erweiterung kann eine frühe Warnung vor einer aktiven Infektion geben.

Angesichts der Partnerschaft die Überprüfung der

Angesichts der Partnerschaft die Überprüfung der Integrität ängigkeiten.

Sicherheitsteams sollten auf die Deaktivierung , die Löschung öhnliche Änderungen der Safe-Mode-Boot-Konfiguration achten, da dies alles wichtige Verhaltensindikatoren für diesen Ransomware ist.

Sie uns auf