Die Sicherheitsforscher bei Check Point Research haben eine technische Analyse durchgeführt, die die gefährliche Realität hinter VECT 2.0 offenbart: Das Malware-Konzept basiert auf einem fundamentalen Designfehler in der Verschlüsselungslogik. Das Programm teilt große Dateien in vier Chunks auf und verschlüsselt jeden mit einem eigenen zufällig generierten Nonce – einem 12-Byte-Wert, der für die Entschlüsselung mit ChaCha20-IETF notwendig ist. Der kritische Fehler: Nur der letzte Nonce wird gespeichert. Die ersten drei werden nach dem Verschlüsseln stillschweigend gelöscht und nirgendwo – weder auf der Festplatte, noch in der Registry oder beim Angreifer – gespeichert. Das macht 75 Prozent jeder größeren Datei permanent unlesbar. “VECT ist eine Ransomware mit Fassade, aber in der Praxis ein Datenlöscher”, fasst Eli Smadja von Check Point Research zusammen.
Das besondere Geschäftsmodell von VECT 2.0 sieht einen Eintritt für neue Affiliates vor: 250 US-Dollar in Monero (XMR), zahlbar in Kryptowährung. Für potenzielle Partner aus GUS-Ländern (Gemeinschaft Unabhängiger Staaten) wird die Gebühr erlassen – ein klares Rekrutierungssignal. Die Gruppe hat sich zudem mit der BreachForums-Cybercrime-Marketplace und der TeamPCP-Hackergruppe zusammengetan, um ihre Reichweite zu vergrößern. Besonders besorgniserregend: TeamPCP ist spezialisiert auf Supply-Chain-Anschläge mit gestohlenen Anmeldedaten.
Die Windows-Variante des Malware-Lockers richtet sich gegen 44 spezifische Sicherheits- und Debugging-Tools. Sie verfügt über einen Persistenz-Mechanismus für Windows Safe Mode und mehrere Script-Templates für laterale Ausbreitung im Netzwerk. Die ESXi-Variante implementiert Geofencing und Anti-Debugging-Prüfungen und versucht, sich via SSH lateral auszubreiten. Die Linux-Version nutzt den gleichen Codebase wie die ESXi-Variante.
Ein merkwürdiges Detail: VECT 2.0 prüft, ob es in einem GUS-Land läuft – und beendet sich selbst, falls ja. Besonders ungewöhnlich: Die Ukraine steht auf der Ausschlussliste, obwohl sie seit Russlands Invasion 2022 nicht mehr als GUS-Land gilt. Check Point vermutet, dass Code von KI-Tools generiert wurde oder dass die Entwickler einen veralteten Codebase verwendeten.
Experten bewerten die Betreiber als eher unerfahrene Akteure. Die kombinierte Bedrohung aus mehrstufigen Plattformen, einem wachsenden Affiliate-Programm und Supply-Chain-Verbreitung ist dennoch erheblich. Für deutsche Unternehmen und Behörden lautet die Empfehlung der Experten eindeutig: Nicht auf Zahlungen setzen. Stattdessen sollte der Fokus auf Resilienz liegen – Offline-Backups, getestete Recovery-Verfahren und schnelle Isolation befallener Systeme.