Die Cybersicherheitsfirma Check Point hat in dieser Woche einen technischen Defekt in Vect 2.0 dokumentiert, der die Ransomware-Variante zu einer destruktiven Malware-Hybrid macht. Das Problem liegt in der Verschlüsselungsimplementierung basierend auf ChaCha20-IETF: Die Malware teilt große Dateien in vier Verschlüsselungschunks auf und generiert für jeden Chunk einen zufälligen 12-Byte-Nonce. Kritisch ist jedoch, dass nur der letzte Nonce auf der Festplatte gespeichert wird. Die ersten drei Nonces werden nach der Verschlüsselung stillschweigend gelöscht — ohne Speicherung auf der Festplatte, in der Registry oder Übertragung an die Angreifer.
Da die ChaCha20-IETF-Verschlüsselung sowohl den 32-Byte-Schlüssel als auch den exakten Nonce benötigt, sind drei Viertel jeder großen Datei für jeden — einschließlich der Ransomware-Betreiber selbst — unwiederbringlich verloren. Dies macht Vect 2.0 praktisch zu einem Datenlöscher mit Ransomware-Fassade. Besonders tragisch: Dateigrößen ab 131.072 Bytes (128 KB) sind betroffen, was den Großteil kritischer Unternehmensdaten umfasst — Virtual-Machine-Disks, Datenbanken, Dokumente und Backups.
Das Sicherheitsteam von Check Point identifizierte weitere Implementierungsfehler: Verschlüsselungsmodi, die geparst aber nie angewandt werden, sowie String-Obfuskationsroutinen, die sich selbst aufheben. Diese Mängel deuten darauf hin, dass die Vect-Betreiber weniger Kryptografie-Expertise haben, als ihre operative Ambition vermuten lässt.
Die strategischen Implikationen sind erheblich: Vect kündigte vor kurzem eine Partnerschaft mit TeamPCP an, einer APT-Gruppe hinter mehreren Supply-Chain-Angriffen (Trivy, KICS, LiteLLM). Diese Allianz hätte potenziell Millionen von Opfern erreichen können. Der Designfehler untergräbt diesen Plan jedoch massiv: Opfer, die Lösegelder zahlen, erhalten nicht funktionsfähige Decrypter.
Deutsche Unternehmen sollten präventiv handeln: Offline-Backups, regelmäßiges Testen von Wiederherstellungsprozeduren, EDR-Monitoring und Schulungen zur Phishing-Erkennung sind essentiell. Für ESXi-Umgebungen sollten Management-Interfaces isoliert und Administratoren-Zugriffe durch Multi-Faktor-Authentifizierung geschützt werden. Windows-Teams müssen PowerShell-Anomalien und verdächtige Safe-Mode-Änderungen überwachen. Besonders wichtig angesichts der TeamPCP-Partnerschaft: Validierung von Third-Party-Software-Abhängigkeiten.
Das Vect-Incident unterstreicht ein fundamentales Dilemma: Ransomware ist aus Angreifersicht nur bei funktionierendem Geschäftsmodell attraktiv. Ein Designfehler, der dieses zerstört, reduziert das Risiko — aber nicht auf Null.