Киберпреступные форумы гудели от хайпа вокруг VECT ransomware. Дебют — декабрь 2025 года. Партнёрства с TeamPCP — этими саботажниками цепочек поставок — и самим BreachForums. Аффилиатам выдавали ключи от королевства без всякой проверки репутации. Ожидания? Отполированный кроссплатформенный зверь, нацеленный на Windows, Linux, ESXi, и даже облачные хранилища на горизонте.
Check Point Research же вскрыла конструктор. И то, что они обнаружили, переворачивает всё с ног на голову: VECT 2.0 не шифрует большие файлы. Он их уничтожает.
Как на самом деле ломается шифрование VECT?
В основе — сырой ChaCha20-IETF из libsodium, без Poly1305 MAC, без проверок целостности. Публичные отчёты ошибочно называли его AEAD. Это не так. Хуже того: для файлов свыше 131 072 байт (128 КБ) код разбивается на четыре части, генерирует nonce, а затем отбрасывает три. Каждый раз. Восстановление? Невозможно. Даже для атакующего.
«Критическая уязвимость в реализации шифрования, идентичная для всех трёх вариантов платформы (Windows, Linux, ESXi), отбрасывает три из четырёх nonce для расшифровки каждого файла размером более 131 072 байт (128 КБ). Полное восстановление невозможно ни для кого, включая злоумышленника».
Таков вердикт Check Point, прямо из их анализа всех публичных версий. Корпоративные ВМ, базы данных, бэкапы — всё, что «покрупнее» — исчезнет навсегда. Мелкие конфигурационные файлы? Зашифрованы, да. Но кто будет платить выкуп за объедки?
Это не единичный случай. Windows PE64, Linux ELF64, ESXi ELF64 — все используют один и тот же уязвимый движок. Портирован из единой кодовой базы C++, с жёстко закодированными порогами. Флаги вроде –fast, –medium, –secure? Парсятся, игнорируются. Скоростные режимы? Миф.
И ошибки накапливаются. Самоотменяющаяся обфускация. Код противоанализа, который никогда не будет выполнен. Планировщик потоков, который не ускоряет, а убивает производительность. Профессионал на поверхности — любитель внутри.
Почему общая кодовая база обрекает VECT на провал на всех платформах?
Разработчики программ-вымогателей любят кроссплатформенность. Повторное использование кода, больше целей. Трио VECT полагается на статические сборки libsodium, флаги командной строки, боковое перемещение, идентичный формат вывода. Умный ход, теоретически.
Но вот в чём загвоздка: это единство усиливает провал. Одна ошибка в обработке nonce распространяется повсюду. Никаких платформенно-специфических корректировок в криптоядро. Это как строить флот по одному и тому же бракованному чертежу — одна отзывная кампания топит их всех.
Check Point получили доступ к конструктору через BreachForums. Сгенерировали пейлоады для Windows, Linux, ESXi. Подтвердили: та же четырёхчастная логика, те же пороги, те же мусорные nonce, как по часам.
Предыстория добавляет иронии. VECT заявили о первых жертвах в январе 2026 года, сразу после атак TeamPCP на Trivy, KICS, LiteLLM, Telnyx. Пост на BreachForums хвастался сотрудничеством, обещая пользователям форума полную свободу действий. Сайт с утечками? Две жертвы, обе из этих цепочек. Амбициозный маркетинг — скудные результаты.
Версия 2.0, февраль 2026 года. C++ с нуля, как они хвастались. Намёки на облачные хранилища через викторину. Тем не менее, панель предлагает инструменты для эксфильтрации, которые до сих пор отсутствуют.
Является ли хайп VECT просто театром вымогателей?
Посмотрите на партнёрства. Атаки TeamPCP на цепочки поставок привлекли внимание; VECT оседлал волну. Сделка с BreachForums демократизирует доступ — каждый пользователь аффилиат. Никаких проверок, никаких сборов. Смело.
Но две жертвы? Это не масштабируется. Ошибка вайпера объясняет это. Удар по диску ВМ, по базе данных — и вуаля. Дешифратор не продаётся. Жертвы игнорируют вас. Денежный поток иссякает.
Уникальный взгляд: это напоминает бэкдор-просчёт WannaCry. Помните? Shadow Brokers слили EternalBlue; игрушка Северной Кореи случайно оставила домен для отключения. Глобальный хаос, да — но самосаботаж нейтрализовал его. Уничтожение nonce у VECT — это не выключатель, но тот же настрой: архитекторы подкашивают собственное оружие. Прогноз? Аффилиаты быстро сбегут. Ротация RaaS резко возрастёт, как только слухи распространятся по форумам. VECT присоединится к кладбищу переобещанных операций.
PR-шники называют это сложным. Check Point разбирает: неправильно идентифицированный шифр, игнорируемые флаги, планировщик, убивающий производительность. Фасад рушится.
Таблица из исследования суммирует платформы:
| Свойство | Windows | Linux | ESXi |
|---|---|---|---|
| Архитектура | PE64 (x86-64) | ELF64 (x86-64) | ELF64 (x86-64) |
| Инструментарий | MinGW-w64 / C++ | GCC / C++ | GCC / C++ |
| Криптографическая библиотека | libsodium (статическая) |
Более глубокий анализ раскрывает причины. Курятник RaaS — спешка с кроссплатформенностью, экономия на спичках. Мощь libsodium использована неправильно: сырой ChaCha20 без аутентификации приглашает к такому. Повторное использование nonce? Катастрофа на практике. При пороге в 128 КБ это вайпер для реальных данных.
Защитники здесь выигрывают. Увидев артефакты VECT — статические строки libsodium, паттерны флагов — можно смеяться. Нет дешифратора — нет стимула платить. Но сдвиг? Вымогатели, стремящиеся к надёжности, терпят неудачу, когда ошибки превращают шифраторы в стиратели.
Что это значит для корпоративной защиты?
Целевое нацеливание на ESXi повышает ставки — атаки на гипервизор каскадно влияют на всё. Но ошибка уравнивает шансы. IR-команды: ищите сигнатуры конструктора, отслеживайте частичное шифрование (мелкие файлы целы).
Атакующие переключатся? Возможно. Но доверие подрывается. Аффилиаты требуют проверенные инструменты. Стагнация сайта утечек VECT кричит о проблемах.
Архитектурный показатель: порты с единым движком ставят скорость выше аудита. Будущие RaaS? Ожидайте изолированных платформ или более тщательного тестирования. Или больше провалов.
На заметку Threat Digest: если появятся облачные хранилища, тот же движок? Катастрофа неизбежна.
🧬 Связанные материалы
- Читать дальше: Великая леность Биг Теха: неделя безопасности в обзоре
- Читать дальше: Шифровальщик Medusa: хакеры из Китая стремительно атакуют с использованием эксплойтов нулевого дня
Часто задаваемые вопросы
Что такое VECT ransomware? VECT — это RaaS-операция, запущенная в декабре 2025 года, предлагающая пейлоады для Windows, Linux и ESXi через аффилиатов BreachForums.
Почему VECT не может расшифровать большие файлы? Баг отбрасывает nonce для расшифровки файлов размером более 128 КБ, используя ошибочную четырёхчастную логику в реализации ChaCha20 на всех вариантах.
Остаётся ли VECT угрозой, несмотря на уязвимость? Мелкие файлы шифруются нормально, но значимые данные стираются безвозвратно — что резко снижает эффективность выкупа для большинства целей.
