Критическая ошибка в VECT 2.0: программы-вымогатели оказались уничтожителем данных

VECT работает по модели RaaS (программное обеспечение как услуга для киберпреступников) и уже успел заявить о себе громкими партнёрствами. В январе 2026 года группировка объявила о сотрудничестве с TeamPCP - организацией, стоящей за серией атак на цепочки поставок, в ходе которых вредоносный код был внедрён в популярные инструменты разработчиков, такие как Trivy, KICS, LiteLLM и Telnyx. Затем VECT заключила союз с крупнейшей киберпреступной площадкой BreachForums, пообещав каждому зарегистрированному пользователю доступ к своей платформе. На бумаге это выглядело как одна из самых масштабных партнёрских сетей в истории вымогательского ПО: тысячи потенциальных операторов могли получить готовый инструмент для атак.

Однако техническая реализация VECT 2.0 оказалась далека от заявленного профессионализма. В отчёте Check Point Research подробно разбирает, как работает ошибочный механизм. При шифровании любого файла, превышающего 128 килобайт, программа разбивает его на четыре фрагмента. Для каждого фрагмента генерируется уникальный одноразовый криптографический код (нонс), необходимый для обратного преобразования. Но из-за дефекта в коде на диск записывается только последний нонс - первый, второй и третий безвозвратно теряются сразу после использования. Ни в реестре, ни на сервере злоумышленников, ни в каком-либо другом месте эти данные не сохраняются. Таким образом, три четверти каждого большого файла становятся нечитаемыми навсегда.

Порог в 128 килобайт - это критически низкая планка. Под определение "большого файла" попадают практически любые рабочие документы, таблицы, базы данных, образы виртуальных машин, архивы и резервные копии. Именно эти файлы вымогатели обычно используют как главный рычаг давления. В случае VECT 2.0 жертва, заплатившая выкуп, не получит работающий дешифратор вовсе не из-за недобросовестности операторов, а потому что нужная для расшифровки информация уничтожена в момент атаки. Фактически это вайпер, а не вымогатель.

Ошибка присутствует во всех трёх версиях VECT 2.0 - для Windows, Linux и гипервизора VMware ESXi. Исследователи подтвердили, что она никогда не исправлялась и встречается даже в образцах, предшествовавших публичному выпуску 2.0. Более того, анализ показал, что ряд заявленных функций просто не работает. Например, операторы могут выбрать один из трёх режимов шифрования - быстрый, средний или безопасный. Однако код разбирает эти флаги, но никак их не использует. Каждая атака выполняется с одинаковыми жёстко заданными параметрами независимо от выбора оператора.

Антианалитические механизмы также оказались фикцией. В Windows-версии присутствуют три полноценно скомпилированные функции для обнаружения отладчиков, инструментов анализа и сред песочниц. Но ни одна из них не вызывается в ходе выполнения - разработчики забыли активировать эти проверки при сборке. Любой исследователь безопасности может запустить образец VECT прямо сейчас и не встретить никакого сопротивления со стороны самого вредоносного ПО.

Дополнительную небрежность выдают и другие детали. Например, в Linux-версии строки с командами пытались зашифровать двойным XOR, но случайно применили один и тот же ключ дважды - в результате "шифрование" само себя отменило, и строки остались в открытом виде. Планировщик потоков шифрования на Windows создаёт на типичном восьмиядерном процессоре 48 потоков - в шесть раз больше числа ядер. Вместо ускорения это приводит к тому, что операционная система тратит больше времени на переключение между потоками, чем на полезную работу. Опытные разработчики вымогательского ПО, такие как авторы LockBit, ограничивают пул одним-двумя потоками на ядро.

Геозонирование в ESXi-версии также вызвало вопросы. VECT проверяет часовой пояс и языковые настройки, чтобы избежать атак на страны СНГ. При этом Украина включена в список исключений - это необычно для 2026 года, так как после 2022 года большинство русскоязычных группировок убрали Украину из списка защищённых целей. Исследователи предполагают, что код мог быть унаследован из более старой утекшей базы или сгенерирован с помощью больших языковых моделей, которые обучались на данных до 2022 года.

На данный момент сайт утечек VECT показывает только две жертвы, обе из атак TeamPCP. Однако открытая партнёрская модель через BreachForums и обещание будущих "облачных блокираторов" делают эту группировку объектом пристального внимания. Текущие ограничения могут быть исправлены в следующих версиях, а инфраструктура для масштабного развёртывания уже существует.

Что делать, если ваша организация столкнулась с VECT? Не платить выкуп. Для больших файлов дешифратора не существует и не будет. Необходимо немедленно восстанавливать данные из чистых резервных копий и привлекать команду реагирования на инциденты. Если ваша компания пострадала от атак TeamPCP на цепочки поставок, следует срочно сменить учётные данные.

SHA256

• 58e17dd61d4d55fa77c7f2dd28dd51875b0ce900c1e43b368b349e65f27d6fdd
• 8ee4ec425bc0d8db050d13bbff98f483fff020050d49f40c5055ca2b9f6b1c4d
• 9c745f95a09b37bc0486bf0f92aad4a3d5548a939c086b93d6235d34648e683f
• a7eadcf81dd6fda0dd6affefaffcb33b1d8f64ddec6e5a1772d028ef2a7da0f2
• e1fc59c7ece6e9a7fb262fc8529e3c4905503a1ca44630f9724b2ccc518d0c06
• e512d22d2bd989f35ebaccb63615434870dc0642b0f60e6d4bda0bb89adee27a