New Vect 2.0 RaaS Operation Zielt auf Windows-, Linux- und ESXi-Systeme ab

Technischer Hintergrund

Die am meisten betroffenen Sektoren sind Fertigung, Bildung, Gesundheitswesen und Technologie, Branchen, die große Datenmengen sensibler Daten speichern und auf kontinuierliche Verfügbarkeit angewiesen sind, um den täglichen Betrieb aufrechtzuerhalten.

Die Gruppe betreibt ihre gesamte Infrastruktur über TOR Hidden Services und akzeptiert Lösegeldzahlungen nur in Monero (XMR), eine auf Datenschutz ausgerichtete Kryptowährung, die die finanzielle Verfolgung erschwert. Alle Kommunikation zwischen Affiliate und Betreiber erfolgt über das TOX-Protokoll und ein proprietäres Tool namens „Vect Secure Chat“.

Neue Affiliate zahlen eine Eintrittsgebühr von 250 USD in Monero, wobei diese Gebühr für Antragsteller aus Ländern der Commonwealth of Independent States (CIS) erlassen wird, ein Detail, das auf Betreiber hindeutet, die wahrscheinlich in Russland oder Belarus ansässig sind.

Technik und Auswirkungen

Multi-Platform-Infektionsmechanismus und Verteidigungsumgehung Vect 2.0 setzt für jede Zielplattform separate, speziell entwickelte ausführbare Dateien ein. Die Windows-Payload ist eine Datei namens „svc_host_update.exe“, die so konzipiert ist, dass sie sich mit legitimen Windows-Systemprozessen vermischt.

Für Linux- und VMware ESXi-Umgebungen setzt die Gruppe ein dediziertes Binärprogramm namens „enc_esxi.elf“. Nach der Ausführung verschlüsselt die Ransomware Dateien und hängt die Erweiterung „.vect“ an.

Opfern finden dann Lösegeldforderungen mit dem Titel „VECT_RECOVERY_GUIDE.txt“ oder „README_VECT.html“, die sie über einen TOR-basierten Link zu einem Verhandlungsportal leiten.

Vect 2.0 Ransom Note (Quelle –

Vect 2.0 Ransom Note (Quelle – DSCI) Um der Erkennung zu entgehen, nutzt Vect 2.0 eine Safe Mode Boot Technik (MITRE ATT&CK T1562.009) und zwingt das kompromittierte System, im abgesicherten Modus neu zu starten, in dem die meisten Endpunktsicherheitstools inaktiv bleiben.

Dies gibt der Ransomware ein klares Zeitfenster, um Daten zu verschlüsseln, ohne gestört zu werden. Der anfängliche Zugang wird typischerweise durch gestohlene oder schwache Anmeldeinformationen (T1078), offengelegte RDP- oder VPN-Dienste (T1133) oder Phishing-E-Mails (T1566) erlangt.

Nachdem sie eingetreten sind, bewegen sich die Gruppe lateral über das Netzwerk durch SMB-Freigaben und WinRM, sammeln Daten Laufwerken und exfiltrieren sie dann über TOR-verschlüsselte Kanäle, bevor sie die Verschlüsselung auslösen.

Technik und Auswirkungen

Organisationen können das Risiko mindern, indem sie bekannte Vect 2.0 IP-Adressen wie 158.94.210.11 (Port 8000) blockieren und den ausgehenden TOR-Verkehr am Netzwerkperimeter einschränken.

Sicherheitsteams sollten Alarme für die Aktivität des bcdedit-Befehls und für unerwartete Neustarts im abgesicherten Modus einrichten, da dies Anzeichen für einen aktiven Umgehungsversuch sind. Multi-Faktor-Authentifizierung (MFA) muss für alle Fernzugriffdienste, einschließlich RDP, VPN und ESXi-Schnittstellen, durchgesetzt werden.

Die Einhaltung der 3-2-1-Backup-Regel, bei der drei Datenkopien mit einer Offline-Speicherung aufbewahrt werden, gewährleistet die Wiederherstellung ohne Lösegeldzahlung. Regelmäßige Phishing-Schulungen für alle Mitarbeiter bleiben gleichermaßen wichtig.