Siber suç forumları, VECT fidye yazılımı etrafındaki söylentilerle çalkalanıyordu. Aralık 2025’te piyasaya sürülecekti. Tedarik zinciri sabotajcıları TeamPCP ve bizzat BreachForums ile ortaklıklar kurulmuştu. Bağlı kuruluşlara itibar kontrolü gerekmeden anahtar teslimi imkanlar sunuluyordu. Beklentiler neydi? Windows, Linux, ESXi ve hatta ufukta görünen bulut depolamalarını hedef alan, cilalı, platformlar arası bir canavar.
Check Point Research, oluşturucu aracını inceledi. Buldukları şey ise tüm denklemi ters yüz ediyor: VECT 2.0 büyük dosyaları şifrelemiyor. Onları yok ediyor.
VECT’nin Şifrelemesi Gerçekten Nasıl Başarısız Oluyor?
Temelde libsodium’un ham ChaCha20-IETF’i kullanılmış; Poly1305 MAC yok, bütünlük kontrolleri yok. Kamuya açık raporlar burayı karıştırmış ve bunun AEAD olduğunu iddia etmiş. Değil. Daha da kötüsü: 131.072 baytın (128 KB) üzerindeki dosyalar için kod dört parçaya ayrılıyor, nonce’lar üretiliyor ve sonra üçü atılıyor. Her seferinde. Kurtarma? Mümkün değil. Saldırgan için bile.
“Şifreleme uygulamasındaki kritik bir hata, tüm üç platform varyantında (Windows, Linux, ESXi) aynı şekilde, 131.072 baytın (128 KB) üzerindeki her dosya için dört şifre çözme nonce’undan üçünü atıyor. Saldırgan dahil kimse için tam kurtarma mümkün değil.”
Bu, Check Point’in tüm kamuya açık sürümlerin analizinden doğrudan aktarılan görüşü. Kurumsal VM’ler, veritabanları, yedekler — yani ne kadar büyük olursa olsun — sonsuza dek kayıp. Küçük yapılandırma dosyaları mı? Elbette şifrelenir. Ama kim onca küçük parça için fidye öder ki?
Bu izole bir durum değil. Windows PE64, Linux ELF64, ESXi ELF64 — hepsi kusurlu motoru paylaşıyor. Tek bir C++ kod tabanından taşınmış, içine gömülü eşik değerleri ile birlikte. –fast, –medium, –secure gibi bayraklar mı? Ayrıştırılır, ama dikkate alınmaz. Hız modları mı? Efsane.
Ve hatalar üst üste biniyor. Kendiliğinden iptal olan gizleme. Erişilemeyen analiz karşıtı kod. Performansı artırmak yerine düşüren bir iş parçacığı zamanlayıcısı. Yüzeyde profesyonel — altında ise amatör.
Paylaşılan Bir Kod Tabanı Neden VECT’yi Tüm Platformlarda Mahkum Ediyor?
Fidye yazılımı geliştiricileri platformlar arası uyumluluğu sever. Kodu yeniden kullan, daha çok hedef yakala. VECT’nin üçlüsü, libsodium statik bağlantılarına, komut satırı bayraklarına, yanal harekete ve aynı çıktı formatına dayanıyor. Teoride akıllıca.
Ancak asıl değişim burada başlıyor: bu birlik, hatayı büyütüyor. Bir nonce işleme hatası her yere yayılıyor. Kripto çekirdeğine platforma özel ince ayarlar yok. Aynı kusurlu planla bir filo inşa etmek gibi — bir geri çağırma hepsini batırır.
Check Point, BreachForums aracılığıyla oluşturucuya erişim sağladı. Windows, Linux, ESXi yüklemelerini başlattılar. Onaylandı: aynı dört parça mantığı, aynı eşik değerleri, aynı çöp-nonce benzeri saat mekanizması.
Arka plan, ironiyi artırıyor. VECT, TeamPCP’nin Trivy, KICS, LiteLLM, Telnyx enjeksiyonlarından hemen sonra, Ocak 2026’da ilk kurbanlarını duyurdu. BreachForums gönderisi ortaklığıyla övünüyor, forum kullanıcılarına serbest kontrol vadediyordu. Sızıntı sitesi mi? Sadece iki kurban, her ikisi de o zincirlerden. İddialı pazarlama — zayıf sonuçlar.
Sürüm 2.0, Şubat 2026. Övündükleri gibi baştan C++ ile yazılmış. Bulut depolamaları bir sınav aracılığıyla ima edilmiş. Ancak panelde hala eksik olan veri sızdırma araçları sunuluyor.
VECT’nin Abartısı Sadece Fidye Yazılımı Tiyatrosu mu?
Ortaklıklara bir bakın. TeamPCP’nin tedarik zinciri saldırıları dikkat çekti; VECT bu dalganın üzerinde sörf yaptı. BreachForums anlaşması erişimi demokratikleştiriyor — her kullanıcı bir bağlı kuruluş. Güvenlik kontrolü yok, ücret yok. Cesurca.
Ama iki kurban mı? Bu ölçeklenmez. Silici hatası bunu açıklıyor. Bir VM diskinize, bir veritabanına darbe — poof. Çözücü satamazsınız. Kurbanlar sizi hayalet gibi yapar. Nakit akışı kurur.
Benzersiz bir içgörü: bu, WannaCry’ın arka kapı hatasını yankılıyor. Hatırlayın? Shadow Brokers, EternalBlue’yu sızdırmıştı; Kuzey Kore’nin oyuncağı yanlışlıkla bir kapatma anahtarı alanı bıraktı. Elbette küresel bir kaos — ama kendi kendini sabote etme bunu etkisiz hale getirdi. VECT’nin nonce çöpü bir kapatma anahtarı değil, ama aynı ruh: mimarlar kendi silahlarını baltalıyor. Tahmin mi? Bağlı kuruluşlar hızla kaçar. Forumlarda haber yayıldıkça RaaS hareketliliği artar. VECT, aşırı vaat edilen operasyonların mezarlığına katılır.
PR spin’i bunu sofistike olarak adlandırıyor. Check Point ise soyuyor: yanlış tanımlanmış şifre, göz ardı edilen bayraklar, performansı öldüren zamanlayıcı. Cephe çöküyor.
Araştırmadan alınan tablo, platformları özetliyor:
| Özellik | Windows | Linux | ESXi |
|---|---|---|---|
| Mimari | PE64 (x86-64) | ELF64 (x86-64) | ELF64 (x86-64) |
| Derleme Aracı | MinGW-64 / C++ | GCC / C++ | GCC / C++ |
| Kripto kütüphanesi | libsodium (statik |
Daha derin analizler, nedeni ortaya koyuyor. RaaS baskı kazanı — çoklu platformu aceleyle çıkarmak, köşeleri kesmek. Libsodium’un gücü yanlış kullanılmış: kimlik doğrulama olmadan ham ChaCha20 bunu davet ediyor. Nonce tekrarı mı? Pratikte felaket. 128 KB eşik değerinde, gerçek dünya verileri için kesinlikle silici.
Savunmacılar burada kazanır. VECT artıkları — statik libsodium dizeleri, bayrak desenleri — fark edin ve gülün. Çözücü yoksa ödeme teşviki de yok. Peki ya değişim? Fidye yazılımının güvenilirliğe doğru evrimi, hataların şifreleyicileri silicilere dönüştürdüğü zaman başarısız olur.
Kurumsal Savunmalar İçin Bunun Anlamı Ne?
ESXi hedeflemesi riskleri artırıyor — hipervizör saldırıları zincirleme etki yaratır. Ancak hata bunu dengeliyor. Müdahale ekipleri: oluşturucu imzalarını avlayın, kısmi şifrelemeler için izleyin (küçük dosyalar sağlam).
Saldırganlar yön mü değiştiriyor? Belki. Ancak güven erozyona uğruyor. Bağlı kuruluşlar doğrulanmış araçlar talep ediyor. VECT’nin sızıntı sitesindeki durgunluk sorunları haykırıyor.
Mimari ipucu: tek motorlu portlar denetim yerine hıza öncelik verir. Gelecekteki RaaS’lar mı? Yalıtılmış platformlar veya daha ağır testler beklenir. Ya da daha çok felaket.
Threat Digest izlemesi: bulut depolamaları düşerse, aynı motor mu? Bekleyen bir felaket.
🧬 İlgili İçgörüler
- Daha Fazlasını Okuyun: Büyük Teknoloji Şirketlerinin Dolandırıcı Tembelliği: Bir Güvenlik Haftası Değerlendirmesi
- Daha Fazlasını Okuyun: Storm-1175’in Sıfır Gün Saldırısı: Çin Hackerları Medusa Fidye Yazılımını Rekor Sürede Dağıtıyor
Sıkça Sorulan Sorular
VECT fidye yazılımı nedir?
VECT, Aralık 2025’te başlatılan bir RaaS operasyonudur ve BreachForums bağlı kuruluşları aracılığıyla Windows, Linux ve ESXi yüklemeleri sunar.
VECT neden büyük dosyaları şifreleyemiyor?
128 KB üzerindeki dosyalar için hata, şifre çözme nonce’larını atar ve tüm varyantlarda ChaCha20 uygulamasında kusurlu dört parçalı mantık kullanır.
VECT hatasına rağmen hala bir tehdit mi?
Küçük dosyalar düzgün bir şekilde şifrelenir, ancak anlamlı veriler kalıcı olarak silinir — çoğu hedef için fidye uygulanabilirliğini önemli ölçüde azaltır.
