RansomwareMalwareSchwachstellen

Kritischer Fehler: VECT 2.0 Ransomware vernichtet statt verschlüsselt große Dateien

Von CyberDeutsch Redaktion
Kritischer Fehler: VECT 2.0 Ransomware vernichtet statt verschlüsselt große Dateien
Zusammenfassung

Die neu entdeckte Ransomware VECT 2.0 funktioniert aufgrund eines kritischen Softwarefehlers praktisch als Datenlöscher statt als Verschlüsselungstool. Das Schadprogramm nutzt bei der Verschlüsselung großer Dateien fehlerhafte Verschlüsselungsfunktionen, die dazu führen, dass etwa 75 Prozent der betroffenen Dateien unwiederbringlich verloren gehen. Dies betrifft insbesondere Unternehmen und Organisationen, da Standard-Geschäftsdateien wie Datenbanken, VM-Disks und Backups schnell die kritische Größe von 128 Kilobyte überschreiten, ab der die Schwachstelle aktiviert wird. Besonders beunruhigend ist die Partnerschaft der VECT-Operatoren mit der Hackergruppe TeamPCP, die kürzlich Supply-Chain-Angriffe gegen bekannte Softwareunternehmen und die Europäische Kommission durchgeführt hat. Für deutsche Unternehmen und Behörden stellt diese Bedrohung ein erhebliches Risiko dar, da die Malware über kompromittierte Software-Lieferketten eingeschleust werden könnte. Im Gegensatz zu herkömmlicher Ransomware können VECT-Operatoren betroffene Dateien selbst bei Zahlung eines Lösegelds nicht wiederherstellen, da die notwendigen Entschlüsselungsschlüssel unwiederbringlich verloren sind. Dies macht VECT 2.0 zu einer besonders destruktiven Bedrohung für kritische Infrastrukturen und sensible Datenbestände.

Die Ransomware VECT 2.0 verfügt über einen grundlegenden Fehler im Verschlüsselungsmechanismus, der es zu einer Art Daten-Wiper macht — einem Werkzeug zur endgültigen Datenzerstörung. Das Sicherheitsforschungsunternehmen Check Point hat die technische Ursache analysiert und veröffentlicht alarmierende Erkenntnisse.

Das Kernproblem liegt in der Handhabung von Nonces (einmalig verwendete Verschlüsselungswerte). Bei der Verschlüsselung großer Dateien teilt VECT 2.0 diese in mehrere Chunks auf. Um den Prozess zu beschleunigen, nutzen alle Chunk-Verschlüsselungen denselben Speicherpuffer für die Nonce-Ausgabe. Dies führt dazu, dass jede neu generierte Nonce die vorherige überschreibt. Nachdem alle Chunks verarbeitet wurden, bleibt nur die letzte Nonce im Speicher und wird auf die Festplatte geschrieben.

Dies hat katastrophale Konsequenzen: Von einer verschlüsselten Datei sind nur die letzten 25 Prozent wiederherstellbar. Die ersten drei Viertel sind dauerhaft verloren, da die dazugehörigen Nonces nicht mehr vorhanden sind. Noch schlimmer: Die fehlenden Nonces werden nicht einmal an die Angreifer übermittelt, sodass selbst zahler Opfer ihre Daten nicht zurück erhielten.

Die Schwelle für “große Dateien” liegt bei nur 128 KB — kleiner als ein typisches Email-Attachment. Check Point warnt, dass dies praktisch alle geschäftskritischen Dateien umfasst: VM-Festplatten, Datenbanken, Sicherungen, Dokumente, Tabellen und Mailboxen. In einer typischen Unternehmensumgebung würde VECT 2.0 so wirken, als wolle der Angreifer Daten komplett vernichten.

Die Sicherheitslücke betrifft alle Varianten von VECT 2.0 — Windows, Linux und ESXi. Besonders bemerkenswert ist die Ankündigung einer Partnerschaft zwischen VECT-Operatoren und TeamPCP, der Hackergruppe hinter den Lieferkettenangriffen auf Trivy, LiteLLM, Telnyx und sogar die Europäische Kommission. Geplant ist, in kompromittierte Umgebungen dieser Angriffe Ransomware einzuschleusen.

Für deutsche Unternehmen, besonders in kritischen Infrastrukturen, Medizintechnik und Finanzsektor, bedeutet dies doppeltes Risiko: Lieferkettenangriffsrisiko plus Datenverlust statt Erpressbarkeit. Das BSI empfiehlt verstärkte Kontrollen für verdächtige Aktivitäten und sichere Backups, die vom Netzwerk getrennt sind.

Ähnliche Artikel