Ransomware VECT 2.0 Berfungsi sebagai Wiper: Kerusakan Data Permanen pada File di Atas 131KB
Baca dalam 60 detik
- Ransomware VECT 2.0 secara permanen menghancurkan file berukuran lebih dari 131KB karena kesalahan logika dalam kode enkripsinya.
- Pembayaran tebusan tidak akan mengembalikan data korban karena kunci dekripsi yang diperlukan dibuang oleh malware saat proses enkripsi.
- Malware ini menargetkan Windows, Linux, dan ESXi, serta memiliki fitur pengecualian untuk negara-negara CIS.
Para peneliti keamanan memperingatkan bahwa operasi ransomware VECT 2.0 sebenarnya bertindak lebih seperti wiper (penghapus data) daripada ransomware tradisional. Hal ini disebabkan oleh cacat desain yang fatal dalam implementasi enkripsinya yang membuat pemulihan data mustahil dilakukan, bahkan oleh para penyerang itu sendiri.
Detail Kegagalan Teknis VECT 2.0:
- Ambang Batas File: File berukuran di atas 131.072 byte (131KB) akan hancur secara permanen dan tidak dapat dipulihkan.
- Masalah Nonce: Malware menghasilkan empat nonce acak untuk mengenkripsi bagian file besar, namun hanya menyimpan nonce terakhir. Tiga nonce pertama dibuang begitu saja, sehingga dekripsi menjadi mustahil.
- Cakupan Platform: Menyerang sistem Windows, Linux, dan lingkungan virtualisasi ESXi.
- Fungsi Praktis: Karena sebagian besar file penting perusahaan berukuran lebih dari 131KB, VECT 2.0 secara praktis berfungsi sebagai alat penghancur data.
Model Bisnis dan Aliansi Kriminal
VECT 2.0 beroperasi dengan model Ransomware-as-a-Service (RaaS) yang diluncurkan pada Desember 2025. Mereka mengenakan biaya masuk sebesar $250 dalam bentuk Monero (XMR), meskipun biaya ini dibebaskan bagi afiliasi dari negara-negara Commonwealth of Independent States (CIS). Grup ini juga telah menjalin kemitraan dengan pasar gelap BreachForums dan grup peretas TeamPCP untuk memperluas jangkauan serangannya.
| Fitur Varian | Deskripsi Teknis |
|---|---|
| Varian Windows | Memiliki fitur anti-analisis terhadap 44 alat keamanan dan mekanisme persistensi "Safe Mode". |
| Varian ESXi | Menerapkan geofencing dan pemeriksaan anti-debugging sebelum enkripsi dimulai. |
| Geofencing | Program akan berhenti jika mendeteksi berjalan di negara CIS, termasuk Ukraina. |
"Para CISO perlu memahami bahwa dalam insiden VECT, membayar bukanlah strategi pemulihan. Tidak ada alat dekripsi yang bisa diberikan... karena informasi yang diperlukan telah hancur saat perangkat lunak mereka berjalan," tegas Eli Smadja dari Check Point Research.
Analisis menunjukkan bahwa operator VECT kemungkinan adalah aktor pemula. Ada dugaan bahwa sebagian kode mereka dihasilkan melalui AI (LLM), terlihat dari penyertaan Ukraina kembali ke dalam daftar negara CIS yang dikecualikan—sebuah praktik yang sudah ditinggalkan sebagian besar grup RaaS sejak awal 2022.
