Neuer VECT 2.0 Ransomware zerstört Dateien über 128 KB unter Windows, Linux und ESXi

Sicherheitslage und Risiko

Partnerschafts-Release-Seite auf BreachForums (Quelle – Check Point) Die Ransomware ist in C++ geschrieben und zielt über statisch kompilierte ausführbare Dateien auf alle drei Plattformen zu, die eine gemeinsame Codebasis.

Jede Variante verwendet den ChaCha20-IETF (RFC 8439) Cipher über die libsodium kryptografische Bibliothek und benennt verschlüsselte Dateien mit der Endung.vect um, wobei auf jedem kompromittierten System eine Lösegeldforderungsnotiz mit dem Namen!!!READ_ME!!!.txt abgelegt wird.

Trotz seines polierten Builder-Panels ist die technische Ausführung weit entfernt. VECT Builder Panel (Quelle – Check Point) Der alarmierendste Aspekt 2.0 ist ein kritischer Programmierfehler, der es effektiv in einen Datenlösch-Tool verwandelt.

Jede Datei, die 131.072 Bytes (128

Jede Datei, die 131.072 Bytes (128 KB) überschreitet, wird nicht ordnungsgemäß verschlüsselt, sondern dauerhaft unrecoverbar gemacht, wodurch genau jene Assets angegriffen werden, ängig sind, um den Betrieb aufrechtzuerhalten.

Der Nonce-Handling-Fehler, der große Dateien zerstört Im Kern des Problems steckt ein grundlegender Fehler darin, wie VECT 2.0 kryptografische Nonces während der Dateiverschlüsselung handhabt. Wenn die Malware eine große Datei verarbeitet, teilt sie diese in vier Blöcke und verschlüsselt jeden davon mithilfe eines neu generierten, zufälligen 12-Byte-Nonce.

Alle vier Verschlüsselungsaufrufe schreiben ihre Nonces in denselben gemeinsamen Speicherpuffer, was bedeutet, dass jeder neue Nonce den vorherigen überschreibt. Bis die Verschlüsselung abgeschlossen ist, überlebt nur der Nonce aus dem vierten und letzten Chunk und wird in die verschlüsselte Datei auf der Festplatte geschrieben.

Einordnung fuer Autofahrer

Verarbeitung großer Dateien, 4 Chunks verschlüsselt mit 4 einzigartigen Nonces, einzelner Nonce am Ende (Quelle – Check Point) Da die Entschlüsselung mit ChaCha20-IETF sowohl den Verschlüsselungsschlüssel als auch den exakt passenden Nonce erfordert, um jeden Chunk zu entschlüsseln, sind die ersten drei Viertel jeder großen Datei für jeden unrecoverbar.

Die weggeworfenen Nonces werden niemals auf der Festplatte gespeichert, im Register abgelegt oder an den Server des Angreifers in irgendeinem der drei Varianten gesendet.

Selbst wenn ein Opfer den Lösegeldbetrag vollständig zahlt, kann der Betreiber keinen funktionierenden Entschlüsseler bereitstellen, da die für die Entschlüsselung erforderlichen Nonces im Moment des Überschreibens des Puffers dauerhaft verloren gingen.

Technik und Auswirkungen

Schon bei nur 128 KB erfasst dieser Schwellenwert praktisch jeden sinnvollen Dateityp, hin zu Backups, Tabellenkalkulationen und E-Mail-Archiven.

Verschlüsselungsfehler, ESXi-Version (Quelle – Check Point) Check Point Research bestätigte, dass dieser Fehler in allen drei Plattformvarianten vorhanden ist und der 2.0-Veröffentlichung vorausgeht, da er bereits in früheren Implementierungen existierte, ohne jemals behoben worden zu sein.

Organisationen sollten Offline-Backups, die nicht über Netzwerkfreigaben oder laterale Bewegung erreichbar sind, aufbewahren. Die Überwachung auf Beendigung, plötzliches Löschen Dateien auf die.vect-Erweiterung kann eine frühe Warnung vor einer aktiven Infektion geben.

Angesichts der Partnerschaft auch die Überprüfung

Angesichts der Partnerschaft auch die Überprüfung der Integrität ängigkeiten.

Sicherheitsteams sollten auf die Deaktivierung, die Löschung öhnliche Änderungen der Safe-Mode-Boot-Konfiguration achten, da dies alles wichtige Verhaltensindikatoren für diesen Ransomware ist.