Pesquisadores alertam que o ransomware VECT 2.0 tem uma falha na forma como trata os nonces de criptografia, o que faz com que arquivos maiores sejam permanentemente destruídos, em vez de criptografados.
O VECT foi divulgado em uma das versões mais recentes do BreachForums, com um convite para que usuários cadastrados se tornassem afiliados.
A operação também distribuía chaves de acesso por mensagens privadas para quem demonstrasse interesse.
Em determinado momento, os operadores do VECT anunciaram uma parceria com o grupo de ameaça TeamPCP, responsável pelos recentes ataques à supply chain que afetaram Trivy, LiteLLM e Telnyx, além de uma ofensiva contra a Comissão Europeia.
No comunicado, os operadores do VECT afirmaram que o objetivo era explorar as vítimas desses comprometimentos na supply chain, implantando payloads de ransomware em seus ambientes, além de realizar ataques maiores à supply chain contra outras organizações.
A intenção dessa abordagem é aumentar a velocidade da criptografia em arquivos grandes.
No entanto, como toda a criptografia de blocos usa o mesmo buffer de memória para a saída do nonce, cada novo nonce sobrescreve o anterior.
Quando todos os blocos são processados, apenas o último nonce gerado permanece na memória, e só ele é gravado em disco.
Na prática, isso significa que apenas a última parte do arquivo, cerca de 25%, pode ser recuperada, enquanto as três partes anteriores se tornam impossíveis de descriptografar, porque os nonces foram perdidos.
Esses nonces perdidos também não são enviados ao atacante.
Assim, mesmo que os operadores do VECT quisessem descriptografar os arquivos de vítimas que pagassem o resgate, eles não conseguiriam.
A Check Point observa que, como a maioria dos arquivos corporativos mais valiosos, incluindo discos de máquinas virtuais, arquivos de banco de dados e backups, tem mais de 128 KB, o impacto do VECT como um apagador de dados pode ser catastrófico na maior parte dos ambientes.
"Com um limite de apenas 128 KB, menor do que um anexo típico de e-mail ou um documento de escritório, o que o código classifica como arquivo grande inclui não apenas discos de máquinas virtuais, bancos de dados e backups, mas também documentos rotineiros, planilhas e caixas de correio.
Na prática, quase nada que a vítima queira recuperar fica abaixo desse limite", diz a Check Point.
Os pesquisadores concluíram que a mesma falha no tratamento dos nonces está presente em todas as variantes do ransomware VECT 2.0, incluindo as versões para Windows, Linux e ESXi.
Com isso, o mesmo comportamento de destruição de dados se aplica em todos os casos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...