Ransomware VECT 2.0

L'opération cybercriminelle connue sous le nom de VECT 2.0 se présente comme un ransomware, mais l'analyse technique révèle un comportement bien plus proche d'un logiciel d'effacement de données. Une faille critique dans son système de chiffrement, présent sur les plateformes Windows, Linux et ESXi, rend la récupération des fichiers impossible, même pour les auteurs des attaques.

Pour les fichiers de plus de 131 Ko, notamment la plupart des données critiques d'entreprise, le logiciel malveillant ne propose pas de chiffrement récupérable. Il détruit définitivement les données nécessaires à leur restauration. Par conséquent, le paiement d'une rançon n'offre aucune solution réaliste pour récupérer les données.

En cas d'incident VECT 2.0, la négociation ne doit pas être envisagée comme stratégie de remédiation. Aucun outil de décryptage fonctionnel n'est disponible, car les informations nécessaires à sa création sont éliminées lors de l'exécution. Les priorités défensives doivent se concentrer sur les sauvegardes hors ligne, les plans de reprise validés, le confinement rapide et la résilience de l'activité.

Une opération RaaS en pleine expansion avec des partenariats criminels

VECT a été lancé initialement en tant que programme Ransomware-as-a-Service (RaaS) en décembre 2025 et a depuis été rebaptisé VECT 2.0. Son portail du dark web fait la publicité du modèle « Exfiltration / Chiffrement / Extorsion », signalant une approche de triple extorsion.

Les nouveaux affiliés devraient s'acquitter de frais d'inscription de 250 $ en Monero (XMR). Toutefois, les candidats originaires des pays de la Communauté des États indépendants (CEI) en sont exemptés, ce qui laisse supposer un recrutement ciblé dans cette région.

Le groupe a également noué des partenariats avec BreachForums et le collectif de hackers TeamPCP. Cette coopération semble viser à simplifier les opérations de ransomware, à faciliter l'adhésion de nouveaux membres et à réutiliser les données volées pour de futures attaques.

La combinaison du vol d'identifiants de la chaîne d'approvisionnement, des opérations organisées des affiliés et de la mobilisation criminelle via les forums reflète un écosystème de ransomware de plus en plus industrialisé.

Le nombre de victimes reste faible malgré des affirmations audacieuses.

Malgré une stratégie de marque agressive, le site de fuites de VECT 2.0 ne recenserait que deux victimes, toutes deux prétendument compromises par des attaques de la chaîne d'approvisionnement liées à TeamPCP.

Le groupe a initialement affirmé utiliser ChaCha20-Poly1305 AEAD, une méthode de chiffrement authentifiée plus robuste. Cependant, un examen technique a révélé l'utilisation d'un chiffrement non authentifié plus faible, dépourvu de protection d'intégrité, ce qui soulève de sérieux doutes quant à ses capacités et sa crédibilité.

La faille de chiffrement qui détruit les données

La principale faille de ce logiciel malveillant réside dans son traitement des fichiers de plus de 131 072 octets. Au lieu de chiffrer de manière sécurisée les données récupérables, il divise chaque fichier volumineux en quatre segments et chiffre chaque segment à l'aide de nonces de 12 octets générés aléatoirement.

Seul le dernier nonce est stocké avec le fichier chiffré. Les trois premiers nonces, nécessaires au déchiffrement de la majeure partie du fichier, sont générés, utilisés une seule fois, puis supprimés définitivement. Ils ne sont ni enregistrés localement, ni inscrits dans le registre, ni transmis à l'opérateur.

La méthode ChaCha20-IETF exigeant la clé de 32 octets correcte et le nonce correspondant pour le déchiffrement, les trois premiers quarts de chaque fichier infecté deviennent irrécupérables. VECT 2.0 fonctionne donc comme un outil de destruction de données dissimulé derrière un message de rançon.

Version Windows : Fonctionnalités avancées, performances limitées

La version Windows est la plus riche en fonctionnalités et cible :

• Disques locaux, supports amovibles et stockage réseau accessible
• 44 outils de sécurité et de débogage grâce à des contrôles anti-analyse
• mécanismes de persistance du mode sans échec
• Modèles de scripts d'exécution à distance pour le déplacement latéral

Lorsqu'il est lancé avec l'option --force-safemode, le logiciel malveillant configure le prochain redémarrage en mode sans échec Windows et ajoute son chemin d'accès exécutable au registre Windows afin qu'il s'exécute automatiquement après le redémarrage dans un environnement à sécurité réduite.

Il est intéressant de noter que, bien que la version Windows intègre des mécanismes de détection de l'environnement et d'évasion, ces routines ne seraient jamais appelées. Cela pourrait permettre aux équipes de défense d'analyser des échantillons sans déclencher de réaction furtive.

Les variantes Linux et ESXi étendent la surface d’attaque.

La version ESXi effectue des contrôles de géorepérage et de lutte contre le débogage avant de lancer le chiffrement. Elle tente également les déplacements latéraux via SSH. La version Linux partage le même code source que l'exemple ESXi, mais offre moins de fonctionnalités.

Cette compatibilité multiplateforme confère à VECT 2.0 un large potentiel de ciblage des environnements d'entreprise, en particulier ceux qui reposent sur la virtualisation et les systèmes d'exploitation mixtes.

Le géorepérage inhabituel du CIS soulève des questions

Avant de chiffrer les systèmes, le logiciel malveillant vérifie s'il s'exécute dans un pays de la CEI. Si tel est le cas, son exécution est interrompue. Il est à noter que l'Ukraine figure toujours parmi ces exclusions, un comportement inhabituel puisque de nombreux groupes de ransomware ont retiré l'Ukraine des listes d'exemption de la CEI après 2022.

Deux explications plausibles ont été proposées :

• Le logiciel malveillant pourrait avoir été partiellement généré à l'aide de modèles d'IA entraînés sur des données géopolitiques obsolètes.

• Il est possible que les développeurs aient réutilisé un ancien code source de ransomware sans mettre à jour la logique régionale.

Signes d’opérateurs inexpérimentés

Bien que VECT 2.0 se présente comme une menace multiplateforme aboutie avec recrutement d'affiliés, partenariats de chaîne d'approvisionnement et image de marque professionnelle, sa mise en œuvre technique raconte une tout autre histoire.

L'évaluation de sécurité suggère que les opérateurs sont plus probablement des acteurs malveillants novices que des développeurs de ransomware expérimentés. L'hypothèse selon laquelle certaines parties du logiciel malveillant auraient été produites ou réalisées à l'aide de code généré par intelligence artificielle ne peut être écartée.

Évaluation de la sécurité des cadres

VECT 2.0 démontre comment un ransomware d'apparence dangereuse peut néanmoins présenter des failles techniques. Son infrastructure, ses partenariats et son image de marque lui confèrent l'apparence d'une organisation criminelle sérieuse, mais la conception défaillante de son chiffrement compromet totalement son modèle d'extorsion.

Pour les équipes de défense, la leçon est claire : privilégier la résilience, les sauvegardes, la segmentation et la réactivité face aux incidents. Lors d’une attaque VECT 2.0, le paiement ne garantit pas la récupération ; elle n’intervient qu’après la destruction.