Вымогатель Vect сломался: выкуп не вернет файлы, а только уничтожит данные

По данным издания Helpnetsecurity, исследователи компании Check Point выявили критическую уязвимость в работе программы-вымогателя Vect. Ошибка в коде приводит к тому, что злоумышленники не могут восстановить зашифрованные данные жертв, даже если те заплатят требуемый выкуп. Проблема носит системный характер: для файлов размером более 128 КБ необходимые для расшифровки криптографические ключи безвозвратно теряются в процессе шифрования.

Эксперты отмечают, что сбой делает Vect по сути инструментом для уничтожения информации, а не средством шантажа. Потерянные данные включают в себя критически важные активы предприятий: виртуальные диски, базы данных, документы и резервные копии. Восстановление информации невозможно ни для жертв, ни для самих создателей вредоносного ПО, так как уникальные параметры шифрования не сохраняются в памяти или на диске.

Механизм сбоя и технические детали

Исследование стало возможным благодаря открытой политике доступа к платформе Vect. Разработчики вымогателя объявили о партнерстве с форумом BreachForums и предоставили ключи доступа всем зарегистрированным пользователям. Это позволило специалистам Check Point создать учетную запись, получить доступ к панели управления и конструктору вредоносного ПО, а также скомпилировать версии для Windows, Linux и ESXi.

Анализ показал, что все три варианта Vect 2.0 представляют собой статически скомпилированные исполняемые файлы на языке C++, использующие криптографическую библиотеку libsodium. Программное обеспечение поддерживает перемещение по сети и создает идентичный формат зашифрованных файлов на диске. Однако в алгоритме обработки данных обнаружен фундаментальный дефект.

При шифровании файлов размером свыше 128 КБ программа разбивает их на четыре части. В процессе обработки каждая следующая часть перезаписывает буфер памяти новым случайным числом (nonce), необходимым для расшифровки. Из-за ошибки кода сохраняется только nonce, сгенерированный для последнего фрагмента. Три предыдущих ключа являются криптографически случайными, но никогда не записываются в файл или хранилище злоумышленников. В результате полная расшифровка становится математически невозможной.

Помимо основной ошибки, исследователи зафиксировали ряд других недостатков в реализации Vect:

• Использование алгоритма шифрования ChaCha20-IETF без слоя аутентификации.
• Игнорирование настроек скорости шифрования (быстрая, средняя, безопасная), которые программа считывает, но не применяет.
• Наличие самоотменяющихся процедур обфускации и недостижимого кода для защиты от анализа.
• Дефект планировщика потоков, который замедляет процесс шифрования вместо его ускорения.

Экономические последствия для бизнеса

Наличие критического бага меняет экономическую модель атак с помощью Vect. Традиционная схема двойного шантажа, предполагающая кражу данных перед шифрованием и угрозу их публикации, в данном случае теряет эффективность. Хотя злоумышленники теоретически могут использовать сторонние инструменты для эксфильтрации информации, конструктор Vect не позволяет создать специализированный инструмент для этой цели.

Некоторые аффилированные лица могут пропустить этап кражи данных и запустить только шифровальщик. В сочетании с невозможностью расшифровки файлов у организаций исчезает мотивация платить выкуп. Платеж не гарантирует возврата активов, что делает атаку финансово бессмысленной для жертвы и рискованной для репутации группы.

Эксперты делают вывод, что группа демонстрирует амбициозные намерения, о чем свидетельствует модель открытых аффилированных лиц и кампании по атаке цепочек поставок. Однако уровень зрелости криптографии и навыков разработки программного обеспечения не соответствует масштабу планируемой операции. Для бизнеса это сигнал о том, что не все киберугрозы одинаково опасны с точки зрения финансового ущерба, но все они требуют внимания к безопасности инфраструктуры.

i

Создано специально для ASECTOR

Концептуальное изображение

Ситуация подчеркивает важность проверки надежности используемых инструментов даже в среде киберпреступности. Ошибки в коде могут привести к тому, что злоумышленники сами лишатся возможности контролировать ситуацию. Для компаний это означает, что при столкновении с атакой Vect приоритетом становится не переговоры о выкупе, а восстановление данных из резервных копий, если они не были затронуты шифрованием.

Детальный анализ кода и поведения вредоносного ПО требует постоянного мониторинга со стороны специалистов по информационной безопасности. Появление подобных дефектов в инструментах киберпреступников может временно снизить эффективность их операций, но не устраняет угрозу появления более совершенных версий.

Когда код вымогателя работает против его создателей

Сбой в работе программы-вымогателя Vect демонстрирует парадоксальный момент в современной кибербезопасности: стремление к масштабированию бизнеса через открытую модель аффилированных лиц привело к потере контроля над ключевым активом. Разработчики предоставили доступ к инструментам широкому кругу пользователей, полагая, что это ускорит распространение угрозы. Однако отсутствие жесткой централизации качества кода и проверки криптографических алгоритмов на этапе разработки обернулось тем, что сам механизм шифрования перестал выполнять свою главную функцию. Для бизнеса это не только техническая ошибка, а сигнал о том, что в киберпреступной среде, как и в легальном секторе, скорость выхода на рынок часто вытесняет надежность продукта.

Экономическая бессмысленность атаки и смена стратегии

Традиционная схема работы программ-вымогателей строится на двойном шантаже: шифрование данных и угроза их публикации. Однако в случае с Vect первый элемент схемы перестает работать. Если злоумышленник не может расшифровать файлы, то и угроза их возврата теряет смысл. Более того, сам конструктор Vect не позволяет создать специализированный инструмент для кражи данных перед шифрованием, что лишает атаку второго рычага давления.

Для бизнеса это создает уникальную ситуацию. Атака становится финансово бессмысленной для жертвы, так как оплата выкупа не решает проблему. В то же время для киберпреступников это риск потери репутации и доверия со стороны потенциальных клиентов. В среде, где конкуренция высока, такие провалы могут привести к оттоку аффилированных лиц к более надежным инструментам.

Стоит учесть: Ошибки в коде киберпреступного ПО могут временно снизить эффективность атак, но они также указывают на то, что киберпреступники, как и легальные компании, уязвимы перед проблемами масштабирования и контроля качества.

Для организаций это сигнал о том, что не все киберугрозы одинаково опасны с точки зрения финансового ущерба. Однако это не означает, что можно расслабиться. Атака с использованием Vect все равно приводит к потере данных, если резервные копии не были защищены. Поэтому для компаний критически важно иметь надежные системы резервного копирования, которые не зависят от основной инфраструктуры и защищены от шифрования.

Сигнал для рынка и уроки для бизнеса

Ситуация с Vect подчеркивает важность проверки надежности используемых инструментов, даже в среде киберпреступности. Ошибки в коде могут привести к тому, что злоумышленники сами лишатся возможности контролировать ситуацию. Для компаний это означает, что при столкновении с атакой приоритетом становится не переговоры о выкупе, а восстановление данных из резервных копий.

Для российского бизнеса это также сигнал о том, что глобальные тренды в кибербезопасности влияют на все рынки. Появление подобных дефектов в инструментах киберпреступников может временно снизить эффективность их операций, но не устраняет угрозу появления более совершенных версий. Компании должны постоянно мониторить ситуацию и обновлять свои системы защиты, чтобы быть готовыми к новым вызовам.

В конечном счете, история с Vect показывает, что даже в мире киберпреступности законы экономики и технологии работают одинаково: качество продукта определяет его успех. Ошибки в коде могут привести к потере контроля, репутации и денег. Для бизнеса это урок о важности надежности и контроля качества, который применим не только к кибербезопасности, но и к любой другой сфере деятельности.