Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware VECT 2.0 Ransomware

VECT 2.0 Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:

Die als VECT 2.0 bekannte Cyberkriminalitätsoperation gibt sich als Ransomware aus, doch technische Analysen zeigen ein Verhalten, das eher einem Datenlöschprogramm ähnelt. Ein schwerwiegender Fehler in der Verschlüsselungsimplementierung unter Windows, Linux und ESXi macht die Wiederherstellung der Dateien unmöglich – selbst für die Angreifer.

Bei Dateien, die größer als 131 KB sind – wozu die meisten unternehmenskritischen Daten gehören –, bietet die Schadsoftware keine wiederherstellbare Verschlüsselung. Stattdessen zerstört sie die für eine Wiederherstellung notwendigen Daten endgültig. Daher bietet die Zahlung eines Lösegelds keine realistische Möglichkeit zur Datenwiederherstellung.

Bei VECT 2.0-Vorfällen sollte Verhandlung nicht als Lösungsstrategie in Betracht gezogen werden. Es gibt keinen funktionsfähigen Entschlüsseler, da die dafür benötigten Informationen während der Ausführung verloren gehen. Die Verteidigung sollte sich auf Offline-Backups, validierte Wiederherstellungspläne, schnelle Eindämmung und die Aufrechterhaltung der Geschäftskontinuität konzentrieren.

Ein wachsendes RaaS-Unternehmen mit kriminellen Partnern

VECT wurde ursprünglich im Dezember 2025 als Ransomware-as-a-Service (RaaS)-Programm gestartet und firmiert seitdem unter dem Namen VECT 2.0. Auf seinem Darknet-Portal wirbt es mit dem Modell „Exfiltration / Verschlüsselung / Erpressung“, was auf einen dreifachen Erpressungsansatz hindeutet.

Neue Mitglieder müssen Berichten zufolge eine Anmeldegebühr von 250 US-Dollar in Monero (XMR) entrichten. Bewerber aus den GUS-Staaten sind jedoch von dieser Gebühr befreit, was auf eine gezielte Rekrutierung aus dieser Region hindeutet.

Die Gruppe ist außerdem Partnerschaften mit BreachForums und dem Hackerkollektiv TeamPCP eingegangen. Diese Zusammenarbeit scheint darauf abzuzielen, Ransomware-Angriffe zu vereinfachen, den Einstieg neuer Mitglieder zu erleichtern und bereits gestohlene Daten für weitere Angriffe zu nutzen.

Die Kombination aus dem Diebstahl von Zugangsdaten in der Lieferkette, organisierten Aktivitäten von Tochtergesellschaften und der Mobilisierung von Kriminellen über Foren spiegelt ein zunehmend industrialisiertes Ransomware-Ökosystem wider.

Trotz vollmundiger Behauptungen bleibt die Opferzahl niedrig.

Trotz aggressiver Marketingstrategie listet die Leak-Website von VECT 2.0 angeblich nur zwei Opfer auf, die beide durch Lieferkettenangriffe im Zusammenhang mit TeamPCP kompromittiert wurden.

Die Gruppe behauptete zunächst, ChaCha20-Poly1305 AEAD, ein stärkeres, authentifiziertes Verschlüsselungsverfahren, zu verwenden. Eine technische Überprüfung ergab jedoch, dass ein schwächeres, nicht authentifiziertes Verschlüsselungsverfahren ohne Integritätsschutz zum Einsatz kam, was ernsthafte Zweifel an ihrer Leistungsfähigkeit und Glaubwürdigkeit aufkommen ließ.

Der Verschlüsselungsfehler, der Daten zerstört

Der gravierendste Fehler der Schadsoftware liegt in der Verarbeitung von Dateien, die größer als 131.072 Byte sind. Anstatt wiederherstellbare Daten sicher zu verschlüsseln, teilt sie jede große Datei in vier Teile auf und verschlüsselt jeden Abschnitt mit separaten, zufällig generierten 12-Byte-Nonces.

Lediglich die letzte Nonce wird mit der verschlüsselten Datei gespeichert. Die ersten drei Nonces, die zum Entschlüsseln des Großteils der Datei benötigt werden, werden generiert, einmalig verwendet und anschließend endgültig verworfen. Sie werden weder lokal gespeichert, noch in die Registry geschrieben oder an den Benutzer gesendet.

Da die ChaCha20-IETF-Methode sowohl den korrekten 32-Byte-Schlüssel als auch die passende Nonce zur Entschlüsselung benötigt, sind die ersten drei Viertel jeder betroffenen Datei unwiederbringlich verloren. Dies bedeutet, dass VECT 2.0 als destruktiver Datenlöscher fungiert, der hinter Ransomware-Nachrichten verborgen ist.

Windows-Variante: Erweiterte Funktionen, schwache Ausführung

Die Windows-Version bietet den größten Funktionsumfang und ist für folgende Zielgruppen ausgelegt:

  • Lokale Laufwerke, Wechseldatenträger und zugänglicher Netzwerkspeicher
  • 44 Sicherheits- und Debugging-Tools durch Anti-Analyse-Prüfungen
  • Persistenzmechanismen des sicheren Modus
  • Vorlagen für Remote-Ausführungsskripte zur lateralen Bewegung

Wird die Malware mit der Option --force-safemode gestartet, konfiguriert sie den nächsten Neustart im Windows-Sicherheitsmodus und fügt ihren Ausführungspfad zur Windows-Registrierung hinzu, sodass sie nach dem Neustart automatisch in einer Umgebung mit reduzierter Sicherheit ausgeführt wird.

Interessanterweise enthält die Windows-Variante zwar Mechanismen zur Umgebungserkennung und -umgehung, diese Routinen werden jedoch Berichten zufolge nie aufgerufen. Dies könnte es Verteidigern ermöglichen, Samples zu analysieren, ohne verdeckte Reaktionen auszulösen.

Linux- und ESXi-Varianten erweitern die Bedrohungsfläche

Die ESXi-Version führt vor der Verschlüsselung Geofencing- und Anti-Debugging-Prüfungen durch. Sie versucht außerdem, sich über SSH lateral zu bewegen. Die Linux-Variante basiert auf demselben Quellcode wie das ESXi-Beispiel, bietet aber weniger Funktionen.

Durch diese plattformübergreifende Unterstützung bietet VECT 2.0 ein breites Targeting-Potenzial für Unternehmensumgebungen, insbesondere solche, die auf Virtualisierung und gemischte Betriebssysteme angewiesen sind.

Ungewöhnliches Geofencing im CIS wirft Fragen auf

Vor der Verschlüsselung von Systemen prüft die Schadsoftware, ob sie in einem GUS-Staat ausgeführt wird. Ist dies der Fall, wird die Ausführung gestoppt. Berichten zufolge ist die Ukraine weiterhin von diesen Ausnahmen betroffen, was ungewöhnlich ist, da viele Ransomware-Gruppen die Ukraine nach 2022 von den GUS-Ausnahmelisten gestrichen haben.

Es wurden zwei wahrscheinliche Erklärungen vorgeschlagen:

  • Die Schadsoftware wurde möglicherweise teilweise mithilfe von KI-Modellen generiert, die mit veralteten geopolitischen Daten trainiert wurden.
  • Die Entwickler haben möglicherweise eine ältere Ransomware-Codebasis wiederverwendet, ohne die regionale Logik zu aktualisieren.

    • Anzeichen für unerfahrene Bediener

    Obwohl sich VECT 2.0 als ausgereifte, plattformübergreifende Bedrohung mit Affiliate-Recruiting, Lieferkettenpartnerschaften und professionellem Branding präsentiert, erzählt die technische Umsetzung eine andere Geschichte.

    Die Sicherheitsanalyse deutet darauf hin, dass es sich bei den Betreibern eher um unerfahrene Angreifer als um erfahrene Ransomware-Entwickler handelt. Die Möglichkeit, dass Teile der Schadsoftware mithilfe von KI-generiertem Code erstellt oder unterstützt wurden, kann nicht ausgeschlossen werden.

    Sicherheitsbewertung für Führungskräfte

    VECT 2.0 zeigt, wie gefährlich aussehende Ransomware dennoch technisch fehlerhaft sein kann. Infrastruktur, Partnerschaften und Markenauftritt erwecken zwar den Eindruck einer ernstzunehmenden kriminellen Organisation, doch der Konstruktionsfehler der Verschlüsselung untergräbt das Erpressungsmodell vollständig.

    Für Verteidiger ist die Lehre klar: Fokus auf Resilienz, Datensicherung, Segmentierung und schnelle Reaktion auf Sicherheitsvorfälle. Bei einem VECT 2.0-Angriff erkauft eine Zahlung keine Wiederherstellung, sondern führt erst zur Zerstörung.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...