Die als Ransomware-as-a-Service (RaaS) betriebene Operation VECT, inzwischen umbenannt in VECT 2.0, startete ihr Partnerprogramm im Dezember 2025. Auf ihrer Darknet-Seite wirbt die Gruppe mit dem Schlagwort „Exfiltration / Verschlüsselung / Erpressung" und stellt damit ihr dreigliedriges Geschäftsmodell heraus. Laut einer im vergangenen Monat veröffentlichten Analyse des Data Security Council of India (DSCI) müssen neue Partner eine Aufnahmegebühr von 250 US-Dollar zahlen, fällig in Monero (XMR). Für Bewerber aus den GUS-Staaten entfällt diese Gebühr – ein Hinweis darauf, dass gezielt Personen aus dieser Region angeworben werden sollen.

Zuletzt ging die Gruppe formelle Partnerschaften mit dem Cybercrime-Marktplatz BreachForums und der Hackergruppe TeamPCP ein. Dataminr beschrieb das Zusammenspiel aus großflächigem Diebstahl von Zugangsdaten über die Lieferkette, einer reifenden RaaS-Operation und der Mobilisierung über Darknet-Foren als ein „beispielloses Modell industrialisierter Ransomware-Verbreitung". Die Leak-Seite listet derzeit allerdings nur zwei Opfer, die beide über die Lieferketten-Angriffe von TeamPCP kompromittiert worden sein sollen.

Entgegen den ursprünglichen Angaben der Gruppe, man setze ChaCha20-Poly1305 AEAD ein, fand Check Point eine schwächere, nicht authentifizierte Chiffre ohne Integritätsschutz. Schwerwiegender ist jedoch ein grundlegender Konstruktionsfehler in den C++-basierten Lockern aller drei Plattformen: Bei großen Dateien verschlüsselt die Malware vier unabhängige Blöcke mit vier frisch erzeugten, je 12 Byte langen Nonces, hängt aber nur die letzte Nonce an die Datei an. Die ersten drei Nonces werden erzeugt, verwendet und stillschweigend verworfen – sie landen weder auf der Festplatte noch in der Registry, noch werden sie an den Betreiber übermittelt. Da ChaCha20-IETF sowohl den 32-Byte-Schlüssel als auch die passende Nonce benötigt, bleiben drei Viertel jeder großen Datei für jeden unwiederbringlich verloren, auch für die Betreiber selbst.

„CISOs müssen verstehen, dass Zahlen bei einem VECT-Vorfall keine Wiederherstellungsstrategie ist", erklärte Eli Smadja, Group Manager bei Check Point Research. Es gebe kein Entschlüsselungswerkzeug, das übergeben werden könne – nicht, weil die Angreifer unwillig seien, sondern weil die dafür nötigen Informationen im Moment der Ausführung zerstört würden. Der Fokus müsse auf Resilienz liegen: Offline-Backups, getestete Wiederherstellungsverfahren und schnelle Eindämmung statt Verhandlung.

Die Windows-Variante verschlüsselt Dateien auf lokalen, wechselbaren und über das Netzwerk erreichbaren Speichern und verfügt über eine Anti-Analyse-Suite gegen 44 Sicherheits- und Debugging-Werkzeuge, einen Persistenzmechanismus über den abgesicherten Modus sowie Skriptvorlagen zur seitlichen Ausbreitung. Bei aktiver Option „–force-safemode" konfiguriert der Locker den nächsten Start in den Windows-Abgesicherten-Modus und trägt den eigenen Pfad in die Registry ein. Implementierte Mechanismen zur Umgebungserkennung werden allerdings nie aufgerufen.

Die ESXi-Variante führt vor der Verschlüsselung Geofencing- und Anti-Debugging-Prüfungen durch und versucht, sich per SSH seitlich auszubreiten; die Linux-Version teilt sich diese Codebasis. Beim Geofencing prüft die Schadsoftware, ob sie in einem GUS-Land läuft, und beendet sich dann ohne Verschlüsselung. Ungewöhnlich ist laut Check Point, dass die Ukraine auf der Ausschlussliste der GUS-Staaten steht, obwohl die meisten RaaS-Programme das Land nach dem russischen Einmarsch Anfang 2022 entfernt hätten. Die Forscher nennen zwei Erklärungen: Entweder sei der Code KI-generiert und entsprechend trainiert worden, oder VECT habe eine alte Codebasis verwendet.