Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il ransomware VECT 2.0 presenta un bug critico che lo rende un wiper, distruggendo i file di grandi dimensioni. Ciò significa che, anche se il riscatto viene pagato, i dati non potranno essere recuperati.
I ricercatori di Check Point hanno avvertito che il ransomware VECT 2.0 funziona in realtà come un wiper. A causa di una falla nella crittografia, il malware distrugge in modo permanente i file di dimensioni superiori a 128 KB, rendendoli impossibili da recuperare anche per gli hacker.
VECT 2.0 viene pubblicizzato come una piattaforma RaaS (ransomware-as-a-service) con un programma di affiliazione. Gli operatori del malware cercano “partner” tramite BreachForums e distribuiscono le chiavi di accesso tramite messaggi privati.
Inoltre, secondo un rapporto pubblicato il mese scorso dal Data Security Council of India (DSCI), ai nuovi arrivati vengono richiesti 250 dollari in Monero, ma i candidati provenienti dai paesi della CSI sono esenti.
Inoltre, il gruppo ha recentemente annunciato una partnership con TeamPCP, un gruppo di hacker collegato ad attacchi alle catene di approvvigionamento di Trivy, LiteLLM, Telnyx e della Commissione europea. A quanto pare, i partner di VECT avrebbero dovuto sfruttare queste vulnerabilità per diffondere ransomware sulle infrastrutture delle vittime.
Tuttavia, come hanno scoperto i ricercatori di Check Point, le versioni del malware VECT 2.0 per Windows, Linux ed ESXi contengono lo stesso bug critico. Il malware suddivide ogni file di grandi dimensioni in quattro parti e le crittografa indipendentemente, generando un nonce di 12 byte per ogni blocco. Tuttavia, tutti i valori vengono scritti nello stesso buffer di memoria, quindi ogni nuovo nonce sovrascrive quello precedente.
In definitiva, solo l’ultimo nonce viene scritto su disco. I primi tre vengono persi: non vengono salvati nel file né inviati agli operatori. Poiché la decrittazione di ChaCha20–IETF richiede sia una chiave di 32 byte che un nonce esatto di 12 byte, il recupero dei primi tre quarti di tutti i file di grandi dimensioni diventa impossibile.
Di conseguenza, VECT 2.0 non si limita a crittografare, ma agisce come un vero e proprio wiper, distruggendo circa il 75% del contenuto di un file. Ciò significa che, anche se il riscatto viene pagato, un decrittatore non servirà a nulla, poiché gli aggressori non dispongono delle informazioni necessarie per ripristinare i dati danneggiati.
Un file “di grandi dimensioni” per un malware è definito come qualsiasi file superiore a 128 KB (131.072 byte). In un ambiente aziendale, questo include praticamente molti dati di valore. Gli esperti sottolineano che, dopo un attacco reale, nessun dato importante sopravviverà. Allo stesso tempo, VECT 2.0 cerca di apparire come un progetto ransomware maturo. La versione per Windows del malware è in grado di crittografare unità locali, rimovibili e di rete, verifica la presenza di 44 strumenti di sicurezza e debugger, persiste nel sistema anche in modalità provvisoria e contiene modelli di script per la diffusione laterale.
La versione per ESXi esegue controlli di geofencing e anti-debugging prima della crittografia e tenta anche di distribuirsi tramite SSH. La versione per Linux, a sua volta, utilizza lo stesso codice sorgente di ESXi, ma con un set di funzionalità ridotto.
Nel loro rapporto, gli esperti sottolineano in particolare che il geofencing di VECT appare anomalo: il malware si arresta senza crittografare i file se rileva di essere in esecuzione in un Paese della CSI.
Tuttavia, anche l’Ucraina è stata aggiunta alla lista di esclusione, cosa rara negli attacchi successivi al 2022. Check Point ritiene che ciò possa indicare un codice sorgente obsoleto o che parte del codice sia stato generato utilizzando un’intelligenza artificiale addestrata su dati non aggiornati.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]