VECT 2.0 fidyə proqramında deşifrəni mümkünsüz edən ciddi texniki qüsur aşkarlanıb

Tədqiqatçılar VECT 2.0 adlı fidyə proqramında ciddi texniki qüsur aşkar ediblər. Məlumata görə zərərli proqram böyük həcmli faylları şifrələmək əvəzinə onları geri qaytarıla bilməyəcək şəkildə məhv edir və bu səbəbdən faylların bərpası hətta fidyə ödənildiyi halda belə mümkün olmur.

Qeyd olunur ki, VECT 2.0 Windows, Linux və ESXi sistemlərini hədəf alan “ransomware-as-a-service” modelində fəaliyyət göstərir. Zərərli proqram 131 KB-dan böyük faylları dörd hissəyə bölərək şifrələməyə çalışır. Lakin şifrələmə zamanı istifadə olunan “nonce” dəyərlərinin düzgün saxlanılmaması nəticəsində faylın ilk üç hissəsinin bərpası üçün lazım olan məlumatlar itirilir. Diskə yalnız sonuncu hissəyə aid “nonce” yazıldığı üçün faylın yalnız təxminən 25 faizi nəzəri olaraq bərpa oluna bilər.

Məlumatlara əsasən itirilmiş “nonce” dəyərləri nə sistemdə saxlanılır, nə də hücumçulara ötürülür. Bu isə o deməkdir ki, VECT operatorları fidyə ödəmiş qurbanlara belə işlək deşifrə aləti təqdim edə bilməzlər. Bu xüsusiyyətə görə VECT 2.0 klassik fidyə proqramından daha çox məlumat məhvetmə aləti kimi qiymətləndirilir.

Mütəxəssisləri bildirirlər ki, 131 KB həddi müasir korporativ mühitlər üçün çox aşağı göstəricidir. Virtual maşın disk faylları, verilənlər bazaları, ehtiyat nüsxələr, elektron poçt qutuları, cədvəllər və gündəlik ofis sənədlərinin əksəriyyəti bu ölçüdən böyük olur. Buna görə VECT 2.0 ilə yoluxma halları təşkilatlar üçün ciddi məlumat itkisi riski yaradır.

Zərərli proqramın Windows versiyası lokal, çıxarıla bilən və şəbəkə üzərindən əlçatan yaddaş sahələrində faylları hədəf alır. Bundan əlavə, o, analiz və təhlükəsizlik alətlərindən yayınmağa, Windows Safe Mode rejimində davamlılıq əldə etməyə və şəbəkə daxilində lateral yayılmaya imkan verən funksiyalara malikdir. Linux və ESXi variantlarında isə oxşar kod bazasından istifadə olunur, ESXi versiyasında əlavə olaraq geofencing və anti-debugging yoxlamaları tətbiq edilir.

Tədqiqatçılar hesab edirlər ki, VECT operatorları peşəkar və təcrübəli təhdid aktorlarından daha çox yeni başlayan kibercinayətkarlardır. Onların fikrincə layihənin təqdimatı peşəkar görünsə də, texniki icrası ciddi şəkildə zəifdir və fidyə proqramından daha çox dağıdıcı “data wiper” xarakteri daşıyır.