Fehlerhafte Ransomware VECT 2.0 zerstört große Dateien unwiederbringlich

Zusammenfassung

Die Ransomware VECT 2.0 enthält nach Angaben von Sicherheitsforschern einen schwerwiegenden Fehler in der Verarbeitung von Verschlüsselungs-Nonces, der große Dateien dauerhaft zerstört, anstatt sie verschlüsselt wiederherstellbar zu machen. VECT wird in einer der jüngsten Ausgaben von BreachForums beworben, wo registrierte Nutzer als Partner angeworben und Zugangsschlüssel per privater Nachricht an Interessenten verteilt werden. Die Betreiber kündigten eine Zusammenarbeit mit der Gruppe TeamPCP an, die für die jüngsten Supply-Chain-Angriffe auf Trivy, LiteLLM und Telnyx sowie für einen Angriff auf die Europäische Kommission verantwortlich sein soll. Erklärtes Ziel der VECT-Betreiber war es, Opfer dieser Lieferketten-Kompromittierungen weiter auszubeuten und in deren Umgebungen Ransomware auszurollen sowie selbst größere Supply-Chain-Angriffe gegen weitere Organisationen durchzuführen. Da der Fehler dazu führt, dass nur das letzte Viertel einer Datei wiederherstellbar bleibt und die verlorenen Nonces auch nicht an die Angreifer übertragen werden, könnten die Betreiber selbst dann keine Entschlüsselung anbieten, wenn ein Opfer das Lösegeld zahlt. Damit wirkt VECT 2.0 in der Praxis wie ein Daten-Wiper.

Der Kern des Problems liegt in der Art, wie VECT 2.0 große Dateien blockweise verschlüsselt. Um die Verschlüsselung großer Dateien zu beschleunigen, nutzen alle Blockverschlüsselungen denselben Speicherpuffer für die Ausgabe der Nonce. Dadurch überschreibt jede neue Nonce die vorherige.

Nachdem alle Blöcke verarbeitet sind, bleibt nur die zuletzt erzeugte Nonce im Speicher, und ausschließlich diese wird auf die Festplatte geschrieben. In der Folge lässt sich nur das letzte Viertel einer Datei wiederherstellen; die übrigen drei Teile sind nicht zu entschlüsseln, weil die zugehörigen Nonces verloren gegangen sind.

Diese verlorenen Nonces werden auch nicht an die Angreifer übermittelt. Selbst wenn die VECT-Betreiber die Dateien zahlungswilliger Opfer entschlüsseln wollten, wären sie dazu nicht in der Lage.

Check Point weist darauf hin, dass die meisten wertvollen Unternehmensdateien — darunter VM-Festplatten, Datenbankdateien und Backups — größer als 128 KB sind, sodass die Wirkung von VECT als Daten-Wiper in den meisten Umgebungen verheerend sein kann. „Bei einer Schwelle von nur 128 KB, kleiner als ein typischer E-Mail-Anhang oder ein Office-Dokument, umfasst das, was der Code als große Datei einstuft, nicht nur VM-Festplatten, Datenbanken und Backups, sondern auch alltägliche Dokumente, Tabellen und Postfächer. In der Praxis fällt fast nichts, was ein Opfer wiederherstellen möchte, unter diese Grenze“, so Check Point.

Die Forscher stellten fest, dass derselbe Nonce-Fehler in allen Varianten von VECT 2.0 vorhanden ist — einschließlich der Versionen für Windows, Linux und ESXi. Das datenvernichtende Verhalten tritt damit in allen Fällen gleichermaßen auf.

Fehlerhafte Ransomware VECT 2.0 zerstört große Dateien unwiederbringlich

Ähnliche Artikel

Neueste Artikel