有缺陷的 VECT 2.0 勒索软件对大文件充当数据擦除器

研究人员警告称，VECT 2.0 勒索软件在处理加密非ces（nonces）时存在一个问题，导致其永久销毁大文件而非对其进行加密。

VECT 已在最新的 BreachForums 迭代版本之一上进行宣传，邀请注册用户成为合作伙伴，并通过私信向感兴趣的用户分发访问密钥。

在某个时间点，VECT 运营者宣布与 TeamPCP 威胁组织建立合作关系。该组织负责近期影响 Trivy、LiteLLM 和 Telnyx 的供应链攻击，以及对欧盟委员会的攻击。

在公告中，VECT 运营者表示，他们的目标是利用那些供应链妥协事件的受害者，在其环境中部署勒索软件载荷，并对其他组织开展更大规模的供应链攻击。

有缺陷的勒索软件

虽然这一设计本意是为了提高大文件的加密速度，但由于所有分块加密都使用相同的内存缓冲区来输出 nonce，每个新生成的 nonce 都会覆盖前一个。

一旦所有分块处理完毕，内存中仅保留最后一个生成的 nonce，并且只有这一个被写入磁盘。

因此，文件中唯一可恢复的部分是最后 25%，而之前的三个部分由于 nonce 丢失而无法解密。

这些丢失的 nonce 也不会传输给攻击者，所以即使 VECT 运营者想为支付赎金的受害者解密文件，他们也做不到。

Check Point 指出，由于大多数有价值的企业文件（包括虚拟机磁盘、数据库文件和备份）都超过 128KB，VECT 作为数据擦除器的影响在大多数环境中可能是灾难性的。

Check Point 表示：“阈值仅为 128 KB，小于典型的电子邮件附件或办公文档。代码所分类的大文件不仅包括虚拟机磁盘、数据库和备份，还包括常规文档、电子表格和邮箱。实际上，受害者想要恢复的几乎所有内容都超过了这个边界。”

研究人员发现，相同的 nonce 处理缺陷存在于 VECT 2.0 勒索软件的所有变体中，包括 Windows、Linux 和 ESXi 版本，因此在所有情况下都会出现相同的数据擦除行为。