VECT 2.0 ランサムウェア

VECT 2.0として知られるサイバー犯罪組織は、ランサムウェアを装っているが、技術的な分析によると、その挙動はデータ消去装置に非常に近い。Windows、Linux、ESXiの各バージョンにおける暗号化実装の重大な欠陥により、攻撃者自身でさえファイルの復元は不可能となっている。

131KBを超えるファイル（ほとんどの企業にとって重要なデータが含まれる）の場合、このマルウェアは復元可能な暗号化を提供しません。それどころか、復元に必要なデータを完全に破壊してしまいます。そのため、身代金を支払っても現実的な復旧手段は存在しません。

VECT 2.0のインシデントが発生した場合、交渉は修復戦略として考えるべきではありません。実行中に復号に必要な情報が失われるため、機能する復号ツールを提供することはできません。防御の優先事項は、オフラインバックアップ、検証済みの復旧計画、迅速な封じ込め、および事業継続性に重点を置くべきです。

犯罪組織との連携を伴う、拡大するRaaS（Rake as a Service）事業

VECTは当初、2025年12月にランサムウェア・アズ・ア・サービス（RaaS）プログラムとして開始され、その後VECT 2.0としてブランド名を変更した。そのダークウェブポータルは「データ流出／暗号化／恐喝」というモデルを宣伝しており、三重の恐喝手法を示唆している。

新規アフィリエイトには、250モネロ（XMR）の参加費が課されると報じられている。ただし、独立国家共同体（CIS）諸国からの申請者は免除されており、この地域からの採用を重点的に行っていることがうかがえる。

同グループは、BreachForumsやTeamPCPといったハッカー集団とも提携を結んでいる。この協力関係は、ランサムウェア攻撃の簡素化、新規参加者の参入障壁の低減、そして既に盗まれたデータをさらなる攻撃に利用することを目的としているようだ。

サプライチェーンにおける認証情報の窃盗、組織的な関連組織による活動、そしてフォーラムを基盤とした犯罪組織の動員といった要素が組み合わさることで、ランサムウェアのエコシステムがますます工業化されていることが浮き彫りになる。

大胆な主張にもかかわらず、被害者数は依然として少ない。

積極的なブランディングにもかかわらず、VECT 2.0のリークサイトには被害者が2人しか記載されておらず、どちらもTeamPCP関連のサプライチェーン攻撃によって被害を受けたとされている。

同グループは当初、より強力な認証付き暗号化方式であるChaCha20-Poly1305 AEADを使用していると主張していた。しかし、技術的な検証の結果、完全性保護機能のない、より脆弱な非認証暗号が使用されていることが判明し、その能力と信頼性の両方に深刻な疑念が生じた。

暗号化の失敗によるデータ破壊

このマルウェアの最も重大な欠陥は、131,072バイトを超えるファイルの処理方法にある。復元可能なデータを安全に暗号化する代わりに、大きなファイルを4つのチャンクに分割し、各セクションを個別にランダムに生成された12バイトのnonceを使用して暗号化する。

暗号化されたファイルには、最後のnonceのみが保存されます。ファイルの大部分を復号化するために必要な最初の3つのnonceは生成され、一度使用された後、永久に破棄されます。これらはローカルに保存されたり、レジストリに書き込まれたり、オペレーターに送信されたりすることはありません。

ChaCha20-IETF方式では、復号化に正しい32バイトの鍵と対応するnonceの両方が必要となるため、影響を受けたファイルの最初の4分の3は復元不可能になります。つまり、VECT 2.0はランサムウェアのメッセージに偽装された破壊的なワイパーとして動作するということです。

Windows版：高度な機能、実行力の弱さ

Windows版は最も機能が豊富で、以下のユーザーを対象としています。

• ローカルドライブ、リムーバブルメディア、およびアクセス可能なネットワークストレージ
• 44のセキュリティおよびデバッグツールをアンチアナリシスチェックで検出
• セーフモードの持続メカニズム
• 横方向移動のためのリモート実行スクリプトテンプレート

--force-safemode オプションを付けて起動すると、このマルウェアは次回の再起動時に Windows セーフモードで起動するように設定し、実行可能ファイルのパスを Windows レジストリに追加して、再起動後にセキュリティレベルが低下した環境で自動的に実行されるようにします。

興味深いことに、Windows版には環境検出および回避メカニズムが含まれているものの、これらのルーチンは実際には呼び出されないという報告がある。これにより、防御側はステルス応答をトリガーすることなくサンプルを分析できる可能性がある。

LinuxおよびESXiの派生版が脅威の範囲を拡大

ESXi版は、暗号化を開始する前にジオフェンシングとデバッグ対策のチェックを実行します。また、SSHを介した横方向の移動も試みます。Linux版はESXi版と同じコードベースを共有していますが、機能は少なくなっています。

このクロスプラットフォーム対応により、VECT 2.0は企業環境、特に仮想化や複数のオペレーティングシステムが混在する環境に対して、幅広い標的設定の可能性を秘めている。

CISの異常なジオフェンシングが疑問を呼ぶ

システムを暗号化する前に、このマルウェアは実行場所がCIS諸国かどうかを確認します。CIS諸国であれば、実行は停止します。注目すべきは、ウクライナが依然として除外対象に含まれていると報じられている点です。多くのランサムウェアグループが2022年以降、ウクライナをCIS諸国の除外リストから削除しているため、これは異例のことです。

考えられる説明として、以下の2つが挙げられている。

経験不足のオペレーターの兆候

VECT 2.0は、アフィリエイト募集、サプライチェーンパートナーシップ、プロフェッショナルなブランディングを備えた洗練されたマルチプラットフォームの脅威として自らを売り込んでいるが、技術的な実行状況は全く異なる。

セキュリティ評価によると、攻撃者は熟練したランサムウェア開発者というよりは、むしろ経験の浅い攻撃者である可能性が高い。マルウェアの一部がAI生成コードによって作成または支援された可能性は否定できない。

幹部セキュリティ評価

VECT 2.0は、いかに危険そうに見えるランサムウェアでも、技術的に欠陥がある可能性があることを示している。そのインフラ、提携関係、そしてブランディングは、深刻な犯罪組織というイメージを作り出しているが、暗号化設計の欠陥が恐喝モデルそのものを根底から覆している。

防御側にとっての教訓は明白だ。回復力、バックアップ、セグメンテーション、そして迅速なインシデント対応に注力すべきである。VECT 2.0攻撃においては、身代金を払っても復旧は得られず、破壊の後にしか何も起こらない。