Μια νέα ομάδα ransomware γνωστή ως Vect 2.0 έχει εισέλθει στο παγκόσμιο τοπίο των απειλών στον κυβερνοχώρο, λειτουργώντας ως μια πλήρης πλατφόρμα Ransomware-as-a-Service (RaaS) που στοχεύει συστήματα Windows, Linux και VMware ESXi.
Η ομάδα εμφανίστηκε για πρώτη φορά τον Δεκέμβριο του 2025 και κλιμάκωσε γρήγορα τη δραστηριότητά της μέχρι τον Φεβρουάριο του 2026, προκαλώντας τουλάχιστον 20 θύματα σε πολλές χώρες και κρίσιμους κλάδους της βιομηχανίας.
Το Vect 2.0 είναι μια μετονομασμένη εξέλιξη της προηγούμενης λειτουργίας “Vect”, που τώρα τροφοδοτείται από μια προσαρμοσμένη βάση κώδικα C++ που του επιτρέπει να εκτελείται σε πολλαπλά λειτουργικά συστήματα με ακρίβεια.
Η ομάδα λειτουργεί σε ένα μοντέλο τριπλής απειλής που περιγράφει ανοιχτά ως «Εξάλειψη / Κρυπτογράφηση / Εκβιασμός».
Αυτό σημαίνει ότι πρώτα κλέβει ευαίσθητα δεδομένα, στη συνέχεια τα κρυπτογραφεί για να κλειδώσει τα θύματα και, τέλος, απειλεί να δημοσιεύσει τα κλεμμένα αρχεία, εκτός εάν πληρωθούν λύτρα.
Αυτή η πολυεπίπεδη προσέγγιση αφήνει τους επηρεαζόμενους οργανισμούς σε δύσκολη θέση, αντιμετωπίζοντας τόσο τη λειτουργική διακοπή όσο και την απειλή της έκθεσης των δημόσιων δεδομένων.
Αναλυτές και ερευνητές στο Το Συμβούλιο Ασφάλειας Δεδομένων της Ινδίας (DSCI) παρακολούθησε και εντόπισε τη λειτουργία Vect 2.0 μέσω της εκτεταμένης παρακολούθησης του σκοτεινού ιστού και της συνεχούς ανάλυσης πληροφοριών απειλών.
Τα ευρήματά τους αποκάλυψαν ότι ο πίνακας ελέγχου Data Leak Site (DLS) της ομάδας περιείχε 20 περιπτώσεις ενεργών θυμάτων έως τις 28 Φεβρουαρίου 2026, με 6 θύματα να διέρρευσαν τα δεδομένα τους δημόσια και άλλα 14 ακόμη σε ενεργή διαπραγμάτευση.
Τα δεδομένα θυμάτων διανεμήθηκαν επίσης σε γνωστές πλατφόρμες εγκλήματος στον κυβερνοχώρο, όπως το BreachForums, αυξάνοντας την πίεση στους στοχευμένους οργανισμούς να πληρώσουν.
Οι πιο στοχευμένες χώρες περιλαμβάνουν τη Βραζιλία και τις Ηνωμένες Πολιτείες, η καθεμία με τέσσερα θύματα, ακολουθούμενη από την Ινδία με τρία. Άλλες χώρες που έχουν πληγεί περιλαμβάνουν τη Νότια Αφρική, την Αίγυπτο, την Ισπανία, την Κολομβία, την Ιταλία και τη Ναμίμπια.
Οι τομείς που επηρεάστηκαν περισσότερο είναι η μεταποίηση, η εκπαίδευση, η υγειονομική περίθαλψη και η τεχνολογία, βιομηχανίες που διαθέτουν μεγάλο όγκο ευαίσθητων δεδομένων και εξαρτώνται από τη συνεχή διαθεσιμότητα για τη διατήρηση της καθημερινής λειτουργίας.
Ο όμιλος διαχειρίζεται ολόκληρη την υποδομή του μέσω κρυφών υπηρεσιών TOR και δέχεται πληρωμές λύτρων μόνο στο Monero (XMR), ένα κρυπτονόμισμα με επίκεντρο το απόρρητο που καθιστά δύσκολη την οικονομική ιχνηλάτηση.
Όλες οι επικοινωνίες συνεργατών και χειριστή χρησιμοποιούν το πρωτόκολλο TOX και ένα ιδιόκτητο εργαλείο που ονομάζεται “Vect Secure Chat”.
Οι νέες θυγατρικές χρεώνονται με ένα τέλος εισόδου 250 $ USD στο Monero, αν και αυτό το τέλος παραλείπεται για αιτούντες από χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), μια λεπτομέρεια που αναφέρεται σε φορείς που πιθανώς να εδρεύουν στη Ρωσία ή τη Λευκορωσία.
Μηχανισμός μόλυνσης πολλαπλών πλατφορμών και αμυντική αποφυγή
Το Vect 2.0 αναπτύσσει ξεχωριστά, ειδικά κατασκευασμένα εκτελέσιμα για κάθε στοχευμένη πλατφόρμα. Το ωφέλιμο φορτίο των Windows είναι ένα αρχείο με το όνομα “svc_host_update.exe”, το οποίο έχει δημιουργηθεί για να συνδυάζεται με νόμιμες διαδικασίες συστήματος των Windows.
Για περιβάλλοντα Linux και VMware ESXi, η ομάδα αναπτύσσει ένα αποκλειστικό δυαδικό αρχείο που ονομάζεται “enc_esxi.elf”. Μόλις εκτελεστεί, το ransomware κρυπτογραφεί αρχεία και προσθέτει την επέκταση “.vect”.
Στη συνέχεια, τα θύματα βρίσκουν σημειώσεις για λύτρα με τίτλο “VECT_RECOVERY_GUIDE.txt” ή “README_VECT.html” που τα κατευθύνουν σε μια πύλη διαπραγματεύσεων μέσω ενός συνδέσμου που βασίζεται σε TOR.
Αυτό δίνει στο ransomware ένα σαφές παράθυρο για κρυπτογράφηση δεδομένων χωρίς παρεμβολές. Η αρχική πρόσβαση αποκτάται συνήθως μέσω κλεμμένων ή αδύναμων διαπιστευτηρίων (T1078), εκτεθειμένων υπηρεσιών RDP ή VPN (T1133) ή ηλεκτρονικού “ψαρέματος” (phishing) (T1566).
Αφού αποκτήσει είσοδο, η ομάδα μετακινείται πλευρικά στο δίκτυο μέσω κοινών χρήσεων SMB και WinRM, συλλέγει δεδομένα από τοπικά συστήματα και κοινόχρηστες μονάδες δίσκου και στη συνέχεια τα διεγείρει μέσω καναλιών κρυπτογραφημένων με TOR προτού ενεργοποιήσει την κρυπτογράφηση.
Οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο αποκλείοντας γνωστές διευθύνσεις IP Vect 2.0 όπως η 158.94.210.11 (Θύρα 8000) και περιορίζοντας την εξερχόμενη κίνηση TOR στην περίμετρο του δικτύου.
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) πρέπει να επιβάλλεται σε όλες τις υπηρεσίες απομακρυσμένης πρόσβασης, συμπεριλαμβανομένων των διεπαφών RDP, VPN και ESXi.
Ακολουθώντας τον κανόνα δημιουργίας αντιγράφων ασφαλείας 3-2-1, η διατήρηση τριών αντιγράφων δεδομένων με ένα αποθηκευμένο εκτός σύνδεσης, διασφαλίζει την ανάκτηση χωρίς πληρωμή λύτρων. Η τακτική εκπαίδευση ευαισθητοποίησης για το phishing για όλους τους εργαζόμενους παραμένει εξίσου σημαντική.
VIA: cybersecuritynews.com
