Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Mit <kes>+ lesen

VECT 2.0: Ransomware zerstört Dateien unwiederbringlich : Fehlerhafte Verschlüsselung macht Zahlung wirkungslos und Backups zur Überlebensfrage

VECT 2.0 tritt als moderne Ransomware-as-a-Service-Plattform auf, zerstört aber Dateien ab einer Größe von 131 KByte irreversibel. Ein Implementierungsfehler in den Varianten für Windows, Linux und ESXi macht Wiederherstellung selbst für die Täter unmöglich.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 5 Min.

VECT 2.0 (früher: einfach VECT) wird zwar als Ransomware angeboten, verhält sich technisch aber oft eher wie ein Wiper, also wie eine Schadsoftware zur Datenzerstörung.

Nach Analysen von Check Point Research werden Dateien über 131.072 Byte nicht nur verschlüsselt. Sie werden so beschädigt, dass sie dauerhaft unlesbar bleiben. Das betrifft viele Dateien, die für Unternehmen besonders wichtig sind, zum Beispiel Datenbanken, virtuelle Maschinen, Archive, Office-Dokumente, Konstruktionsdaten oder Teile von Backups.

Damit funktioniert das übliche Ransomware-Modell nicht mehr: Normalerweise versprechen Angreifer nach einer Lösegeldzahlung einen Entschlüsseler. Bei VECT 2.0 ist das bei größeren Dateien nicht möglich. Selbst wenn ein Unternehmen zahlt, können die Täter diese Daten nicht wiederherstellen, weil die dafür nötigen Informationen während des Angriffs verloren gehen.

Wenn Ransomware zur Datenvernichtung wird

Der technische Fehler steckt in der Verschlüsselung. VECT 2.0 teilt größere Dateien in vier Abschnitte auf und verschlüsselt jeden Abschnitt separat. Dafür erzeugt die Malware für jeden Abschnitt einen eigenen zufälligen Wert, einen sogenannten Nonce. Dieser Nonce ist notwendig, damit der jeweilige Abschnitt später wieder entschlüsselt werden kann.

Das Problem: Die Malware speichert nur den Nonce des letzten Abschnitts. Die drei anderen Nonces werden zwar erzeugt und für die Verschlüsselung verwendet, danach aber gelöscht. Sie werden nicht auf dem infizierten System gespeichert und auch nicht an die Angreifer übertragen.

Für die Entschlüsselung reicht der eigentliche Schlüssel deshalb nicht aus. Bei ChaCha20-IETF braucht man zusätzlich genau den passenden Nonce für jeden verschlüsselten Abschnitt. Da bei größeren Dateien drei von vier Nonces fehlen, lassen sich große Teile dieser Dateien nicht mehr wiederherstellen.

Das bedeutet: Selbst die Angreifer könnten nach einer Lösegeldzahlung keinen funktionierenden Entschlüsseler bereitstellen. Die dafür nötigen Informationen sind bereits während des Angriffs verloren gegangen. Eli Smadja von Check Point Research warnt: „In einem VECT-Vorfall ist Zahlung keine Wiederherstellungsstrategie.“

Ein professionelles Geschäftsmodell mit schwacher Technik

Auf seiner Darknet-Seite bewirbt die Gruppe ihr Modell mit der Formel:

  • Exfiltration
  • Encryption
  • Extortion

Damit beschreibt VECT 2.0 ein dreistufiges Erpressungsszenario aus Datendiebstahl, Verschlüsselung und öffentlichem Druck. Gestartet wurde das Affiliate-Programm im Dezember 2025. Nach einer Analyse des Data Security Council of India verlangt die Gruppe von neuen Partnern eine Einstiegsgebühr von 250 Dollar, zahlbar in Monero. Für Bewerber aus Staaten der Gemeinschaft Unabhängiger Staaten entfällt diese Gebühr, was auf gezielte Rekrutierung in der Region hindeutet.

Zusätzlich hat VECT 2.0 formale Partnerschaften mit dem Cybercrime-Marktplatz BreachForums und der Hackergruppe TeamPCP aufgebaut. Ziel ist offenbar, die Einstiegshürde für Erpresser zu senken und bereits gestohlene Daten für neue Angriffe nutzbar zu machen. Dataminr beschreibt diese Entwicklung als „beispielloses Modell industrialisierter Ransomware-Bereitstellung“, weil Lieferkettenzugänge, ein wachsender Ransomware-as-a-Service-Betrieb und Massenmobilisierung in Foren zusammenlaufen.

Windows, Linux und ESXi im Fokus

Die Windows-Version von VECT 2.0 kann Dateien auf verschiedenen Speicherorten angreifen: auf der lokalen Festplatte, auf angeschlossenen USB-Laufwerken und auf Netzlaufwerken, die vom infizierten System aus erreichbar sind.

Zusätzlich versucht die Malware, eine Analyse durch Sicherheitsexperten zu erschweren. Dafür prüft sie auf 44 bekannte Sicherheits-, Analyse- und Debugging-Programme. Solche Werkzeuge werden normalerweise genutzt, um Schadsoftware zu untersuchen oder ihr Verhalten zu stoppen.

Besonders gefährlich ist der Mechanismus für den abgesicherten Modus von Windows. Wird die Option „–force-safemode“ genutzt, sorgt die Malware dafür, dass der Rechner beim nächsten Neustart im abgesicherten Modus startet. Gleichzeitig trägt sie sich selbst in die Windows-Registrierung ein. Dadurch wird sie nach dem Neustart automatisch wieder ausgeführt.

Der Trick dahinter: Im abgesicherten Modus lädt Windows nur die wichtigsten Treiber und Dienste. Viele Sicherheitsprogramme oder Schutzfunktionen laufen dann nicht oder nur eingeschränkt. VECT 2.0 kann diesen Zustand ausnutzen, um ungestörter weiterzuarbeiten.

Auffällig ist, dass Teile der Umgebungserkennung in der Windows-Version zwar vorhanden sind, aber nicht aufgerufen werden. Sicherheitsanalysten können die Artefakte dadurch untersuchen, ohne zwangsläufig Ausweichreaktionen der Malware auszulösen.

Die ESXi-Variante arbeitet restriktiver. Sie führt Geofencing- und Anti-Debugging-Prüfungen vor der Verschlüsselung aus und versucht, sich per Secure Shell seitlich weiterzubewegen. Die Linux-Version nutzt dieselbe Codebasis wie die ESXi-Fassung, enthält aber nur einen Teil ihrer Funktionen.

Geofencing mit ungewöhnlicher Ukraine-Ausnahme

Die Geofencing-Routine prüft, ob die Malware in einem GUS-Staat läuft. Ist das der Fall, beendet sie sich ohne Verschlüsselung. Ungewöhnlich ist laut Check Point, dass auch die Ukraine in dieser Ausschlussliste auftaucht. Viele Ransomware-Programme hatten solche Prüfungen nach dem russischen Angriff auf die Ukraine im Jahr 2022 angepasst oder entfernt. Check Point hält zwei Erklärungen für plausibel: Entweder wurde der Code mithilfe eines Sprachmodells erzeugt, das mit veralteten Daten trainiert wurde, oder VECT 2.0 basiert auf einer älteren Codegrundlage.

Resilienz schlägt Verhandlung

Die Analyse legt nahe, dass hinter VECT 2.0 keine besonders erfahrene Ransomware-Gruppe steht. Nach außen wirkt die Operation professionell: Es gibt Versionen für mehrere Plattformen, ein Partnerprogramm für kriminelle Helfer, ein Verwaltungsportal und offenbar Zugänge aus Lieferkettenangriffen über TeamPCP. Technisch ist die Malware jedoch fehlerhaft gebaut.

Das größte Problem liegt ausgerechnet bei der Entschlüsselung. Eine echte Ransomware muss Dateien so verschlüsseln, dass die Täter sie nach einer Zahlung wiederherstellen können. Bei VECT 2.0 funktioniert das bei größeren Dateien nicht. Die Malware löscht während der Verschlüsselung Informationen, die später für die Wiederherstellung nötig wären. Dadurch können selbst die Angreifer keinen funktionierenden Entschlüsseler liefern.

Für Unternehmen ist das ein wichtiger Warnhinweis: Bei einem Angriff mit VECT 2.0 hilft Verhandeln kaum. Selbst eine Lösegeldzahlung würde die zerstörten Daten nicht zurückbringen. Entscheidend sind deshalb andere Schutzmaßnahmen: zuverlässige Offline-Backups, regelmäßig getestete Wiederherstellung, getrennte Netzwerkbereiche, schnelle Eindämmung des Angriffs und eine saubere forensische Sicherung der betroffenen Systeme.

VECT 2.0 zeigt damit, wie gefährlich moderne Erpressersoftware geworden ist: Sie sperrt Daten nicht nur vorübergehend, sondern kann sie dauerhaft zerstören.

Weitere Artikel zum Thema: 

Standard-Update zum Datenschutz-Management

ISO 22361

GlassWorm schlägt wieder zu

 

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.