New Vect 2.0 RaaS Operation Zielt auf Windows-, Linux- und ESXi-Systeme ab

Die Gruppe operiert nach einem Dreifach-Bedrohungsmodell, das sie offen als „Exfiltration Encryption Extortion“ (Datenexfiltration, Verschlüsselung, Erpressung) beschreibt.

Dies bedeutet, dass sie zuerst sensible Daten stiehlt, diese dann verschlüsselt, um die Opfer auszuschließen, und schließlich mit der Veröffentlichung der gestohlenen Dateien droht, es sei denn, ein Lösegeld wird gezahlt.

Dieser mehrschichtige Ansatz bringt die betroffenen Organisationen in eine schwierige Lage, da sie sowohl mit Betriebsunterbrechungen als auch mit der Gefahr der öffentlichen Datenoffenlegung konfrontiert sind.

Analysten und Forscher des Data Security

Analysten und Forscher des Data Security Council of India (DSCI) verfolgten und identifizierten die Operation Vect 2.0 durch umfangreiches Dark-Web-Monitoring und laufende Bedrohungsanalyse. Ihre Ergebnisse zeigten, dass das Dashboard der Data Leak Site (DLS) der Gruppe am 28.

Februar 2026 20 aktive Opferfälle listete, 6 Opfer Daten öffentlich verloren und 14 andere sich noch in aktiven Verhandlungen befanden. Opferdaten wurden auch auf bekannten Cybercrime-Plattformen wie BreachForums verteilt, was den Druck auf die Zielorganisationen erhöhte, Zahlungen zu leisten.

Die am stärksten betroffenen Länder sind Brasilien und die Vereinigten Staaten, jeweils mit vier Opfern, gefolgt Nationen sind Südafrika, Ägypten, Spanien, Kolumbien, Italien und Namibia.

Die am meisten betroffenen Sektoren sind

Die am meisten betroffenen Sektoren sind Fertigung, Bildung, Gesundheitswesen und Technologie, Branchen, die große Datenmengen sensibler Daten speichern und auf kontinuierliche Verfügbarkeit angewiesen sind, um den täglichen Betrieb aufrechtzuerhalten.

Die Gruppe betreibt ihre gesamte Infrastruktur über TOR Hidden Services und akzeptiert Lösegeldzahlungen nur in Monero (XMR), eine auf Datenschutz ausgerichtete Kryptowährung, die die finanzielle Verfolgung erschwert. Alle Kommunikation zwischen Affiliate und Betreiber erfolgt über das TOX-Protokoll und ein proprietäres Tool namens „Vect Secure Chat“.

Neue Affiliate zahlen eine Eintrittsgebühr von 250 USD in Monero, wobei diese Gebühr für Antragsteller aus Ländern der Commonwealth of Independent States (CIS) erlassen wird, ein Detail, das auf Betreiber hindeutet, die wahrscheinlich in Russland oder Belarus ansässig sind.

Multi-Platform-Infektionsmechanismus und Verteidigungsumgehung Vect 2.0 setzt

Multi-Platform-Infektionsmechanismus und Verteidigungsumgehung Vect 2.0 setzt für jede Zielplattform separate, speziell entwickelte ausführbare Dateien ein. Die Windows-Payload ist eine Datei namens „svc_host_update.exe“, die so konzipiert ist, dass sie sich mit legitimen Windows-Systemprozessen vermischt.

Für Linux- und VMware ESXi-Umgebungen setzt die Gruppe ein dediziertes Binärprogramm namens „enc_esxi.elf“. Nach der Ausführung verschlüsselt die Ransomware Dateien und hängt die Erweiterung „.vect“ an.

Opfern finden dann Lösegeldforderungen mit dem Titel „VECT_RECOVERY_GUIDE.txt“ oder „README_VECT.html“, die sie über einen TOR-basierten Link zu einem Verhandlungsportal leiten.

Vect 2.0 Ransom Note (Quelle –

Vect 2.0 Ransom Note (Quelle – DSCI) Um der Erkennung zu entgehen, nutzt Vect 2.0 eine Safe Mode Boot Technik (MITRE ATT&CK T1562.009) und zwingt das kompromittierte System, im abgesicherten Modus neu zu starten, in dem die meisten Endpunktsicherheitstools inaktiv bleiben.

Dies gibt der Ransomware ein klares Zeitfenster, um Daten zu verschlüsseln, ohne gestört zu werden. Der anfängliche Zugang wird typischerweise durch gestohlene oder schwache Anmeldeinformationen (T1078), offengelegte RDP- oder VPN-Dienste (T1133) oder Phishing-E-Mails (T1566) erlangt.

Nachdem sie eingetreten sind, bewegen sich die Gruppe lateral über das Netzwerk durch SMB-Freigaben und WinRM, sammeln Daten und exfiltrieren sie dann über TOR-verschlüsselte Kanäle, bevor sie die Verschlüsselung auslösen.

Moegliche Anwendungen

Organisationen können das Risiko mindern, indem sie bekannte Vect 2.0 IP-Adressen wie 158.94.210.11 (Port 8000) blockieren und den ausgehenden TOR-Verkehr am Netzwerkperimeter einschränken.

Sicherheitsteams sollten Alarme für die Aktivität des bcdedit-Befehls und für unerwartete Neustarts im abgesicherten Modus einrichten, da dies Anzeichen für einen aktiven Umgehungsversuch sind. Multi-Faktor-Authentifizierung (MFA) muss für alle Fernzugriffdienste, einschließlich RDP, VPN und ESXi-Schnittstellen, durchgesetzt werden.

Die Einhaltung der 3-2-1-Backup-Regel, bei der drei Datenkopien mit einer Offline-Speicherung aufbewahrt werden, gewährleistet die Wiederherstellung ohne Lösegeldzahlung. Regelmäßige Phishing-Schulungen für alle Mitarbeiter bleiben gleichermaßen wichtig.

Sie uns auf