Новый оператор программ-вымогателей Vect наращивает мощь через партнёрства с TeamPCP и BreachForums

Исследователи из SpiderLabs (подразделение Trustwave) в своём отчёте подчёркивают: Vect представляет собой нарождающуюся угрозу именно из-за альянса с TeamPCP. Эта группа ранее прославилась атаками на цепочки поставок. Она скомпрометировала широко используемые инструменты безопасности с открытым исходным кодом, включая сканеры уязвимостей Trivy и KICS, шлюз для искусственного интеллекта LiteLLM и официальный Python SDK сервиса Telnyx. Совместив продвинутые тактики опытного партнёра с собственной открытой партнёрской программой, Vect резко расширила свой охват. В её программу может вступить любой желающий, что значительно увеличивает число потенциальных атак и их сложность.

Вторым важным союзником стала площадка BreachForums. Vect распространяет среди её участников партнёрские ключи, давая мгновенный доступ к возможностям своей программы-вымогателя как услуги (RaaS). Фактически все члены форума автоматически становятся партнёрами Vect. Такая кооперация позволила группе быстро нарастить численность, нацелиться на крупных операторов цепочек поставок и развёртывать вымогательское ПО в масштабах, причиняющих значительный ущерб.

На сегодня Vect опубликовала на своём сайте утечек 25 жертв. Первая запись датирована 5 января. Чаще всего под удар попадают организации из США (семь случаев), а самой поражаемой отраслью оказался сектор технологий. Группа также ведёт аккаунт в соцсети X, где размещает заявления и списки целей. Некоторые посты носят откровенно издевательский тон, что, по мнению аналитиков, служит инструментом психологического давления. Примечательно, что несколько компаний, упомянутых в X, на сайте утечек не значатся. Сама Vect утверждает, что у неё есть "300 неопубликованных жертв". Правда, в заявлениях встречаются противоречия: группировка заявляет, что не атакует больницы и некоммерческие организации, однако ранее среди жертв значилась структура из сферы здравоохранения.

Чтобы понять, как устроена эта угроза, стоит заглянуть внутрь партнёрской панели Vect. Вступить в программу можно двумя путями. Первый - регистрация на сайте утечек, для которой требуется пригласительный код. Он стоит 250 долларов в криптовалюте Monero. Второй способ - регистрация на BreachForums. Ключ доступа приходит автоматически в личные сообщения. После входа партнёр видит панель управления со статистикой: количество собранных сборок, активность входа, общее время онлайн и число активных целей. Для генерации полезной нагрузки нужно создать папку жертвы. Конструктор поддерживает Windows, Linux, ESXi, а также содержит ещё не выпущенный инструмент для кражи данных. Надпись "скоро" под ним подтверждает, что разработчики Vect продолжают совершенствовать свои средства.

В Vect действует многоуровневая комиссионная модель. На первом уровне партнёр получает 80% выкупа. С ростом общей суммы полученных выплат доля увеличивается. Те, кто превысил порог в 75 миллионов долларов, выходят на пятый уровень с 89% комиссии. Панель также содержит вкладки объявлений, вопросов и правил, но пока они пусты.

При анализе образца, собранного через эту панель, исследователи обнаружили любопытную деталь. В скомпилированной полезной нагрузке содержались строки, ссылающиеся на группу Devman 3.0. Devman известна более чем 180 жертвами, но, по имеющимся данным, прекратила активность в феврале - через несколько дней после того, как первый образец Vect появился на VirusTotal. Сравнение текстов записок о выкупе от Devman и Vect выявило поразительное сходство в структуре и формулировках. Ранние версии Vect (V2.0) из VirusTotal практически идентичны, за исключением наличия строки "Devman 3.0" в образце, сгенерированном панелью. Это указывает на возможную связь между двумя группировками.

Сами программы-вымогатели Vect демонстрируют высокий технический уровень. Для Windows они используют обфускацию строк с помощью вращающегося XOR, чтобы затруднить анализ. Вредоносное ПО применяет несколько методов горизонтального перемещения по сети: через RDP, SMB, WinRM, PSExec и планировщик заданий через CIM. Интересно, что в параметрах указан ключ --gpo для распространения через групповые политики. Однако анализ показал, что на самом деле этот модуль не использует групповые политики - он просто удалённо регистрирует задания через CIM-сессии. Разработчик неправильно назвал функцию. Сгенерированный сценарий PowerShell создаёт случайное имя задачи с префиксом "DM", что может быть отсылкой к Devman, а затем выполняет полезную нагрузку с наивысшими привилегиями SYSTEM.

Шифрование файлов выполняется алгоритмом ChaCha20. Зашифрованным файлам присваивается расширение .vect, после чего в каждую папку помещается записка с требованиями выкупа. Версии для Linux и ESXi похожи, но у варианта для ESXi есть дополнительная возможность - завершение работающих виртуальных машин. Это необходимо, чтобы разблокировать их диски для шифрования. Обе реализации содержат проверку геолокации: они анализируют системные переменные LANG, LC_ALL и файл /etc/timezone. Если система принадлежит странам постсоветского пространства (Россия, Украина, Беларусь, Казахстан и другие, а также Сербия), вредоносная программа прекращает работу и не шифрует данные. Перед шифрованием она завершает процессы средств защиты, резервного копирования и баз данных, используя команду pkill -9. В список попали CrowdStrike Falcon, SentinelOne, Cylance, Kaspersky, Veeam, MariaDB и многие другие.

Итоговый вывод специалистов тревожен. Vect - это не просто очередной оператор программ-вымогателей. Благодаря альянсам с TeamPCP и BreachForums она смогла быстро нарастить партнёрскую базу и операционный охват. А строки Devman внутри полезной нагрузки, сходство записок и префикс "DM" намекают на то, что Vect может быть либо преемником, либо ответвлением Devman, которая ушла со сцены как раз в тот момент, когда новый игрок набирал силу. Точный характер этой связи ещё предстоит выяснить, но очевидно: пренебрегать Vect не стоит никому, кто отвечает за безопасность крупных организаций.

SHA1

• 488ed9ff65652a738042d93678591a579714a791
• 69aa94434f545b41198b7d21f9acc71457584e62
• 9e18315690f148e1aa39facc39de913266bdcc13
• e27f4feffc1ba6bf4e35aec4a5270fccb636e5cf
• f4b904fb6ba8474cb87f26302b74c4b82c106003
• f5287a33a806b8de0d62ac24edead4dcb9f60c2a