VECT 2.0 ransomware
A Check Point Research a VECT 2.0 a ransomware-as-a-service modellben működő zsarlóvírusra hívja fel a figyelmet, amely működésében lényegében eltér a klasszikus ransomware-ektől, tervezetten titkosít, de implementációs hiba miatt wiper viselkedést mutat.
A malware Windows, Linux, ESXi platformokat is kihasznál, és a hagyományos zsaroló logikát követi, vagyis titkosítással és adatlopással kombinált extortion modellt hirdet. Ugyanakkor a titkosítási implementációban kritikus hiba található: a ChaCha20-IETF algoritmus használata során a szükséges nonce-ok egy részét a kód nem tárolja, hanem eldobja. Ennek következtében a 128 KB-nál nagyobb fájlok esetében a visszafejtéshez szükséges információk végleg elvesznek.
A fájlok nagy része így nem titkosított állapotban zárolódik, hanem irreverzibilisen sérül, így sem az áldozat, sem a támadó nem képes helyreállítani az adatokat. A gyakorlatban a VECT 2.0 ezért nem valódi ransomware-ként, hanem egy wiperként működik, miközben továbbra is váltságdíjat követel.
A hiba minden platformon konzisztensen jelen van, ami arra utal, hogy közös kódbázisból származik. Mivel a legtöbb üzletileg kritikus fájl mérete meghaladja a küszöbértéket, az incidensek döntő részében a hatás teljes adatvesztés, nem pedig visszaállítható titkosítás.
A kampány 2025 végén indult affiliált programmal, és klasszikus RaaS struktúrában működik, de a hibás implementáció miatt a zsarolási modell technikailag nem fenntartható. A Check Point értelmezése szerint ez egy ritka eset, ahol a ransomware funkcionális hibája teljesen megváltoztatja a fenyegetés természetét: a támadás célja elvileg monetizáció, de a tényleges hatás nem visszafordítható adatmegsemmisítés.
