Операция Vect запускает партнёрскую программу: что скрывается за новым RaaS на рынке вымогателей

Операторы Vect сообщили на форуме, что их программа-вымогатель написана с нуля на языке C++. Разработчики подчеркивают, что не используют утекшие или позаимствованные фрагменты кода известных семейств вымогателей. Такое заявление - попытка завоевать доверие на перенасыщенном рынке, где многие инструменты уже скомпрометированы или имеют известные уязвимости.

Техническая начинка вируса оказалась вполне современной. Для шифрования файлов применяется алгоритм ChaCha20-Poly1305. Вредоносная программа умеет работать в безопасном режиме Windows, останавливать службы и процессы, чтобы разблокировать доступ к файлам баз данных и офисным документам. Кроме того, Vect поддерживает перемещение по сети с помощью протоколов SMB и WinRM, а также способен атаковать не только Windows, но и системы на базе Linux и ESXi. В объявлении была указана ссылка на скрытый сайт в сети TOR (.onion), который, вероятно, служит панелью управления для партнёров.

Ключевым моментом развития группировки стало партнёрство с администрацией подпольного форума BreachForums и командой TeamPCP. Последняя известна тем, что стоит за недавними атаками на цепочки поставок. Операторы Vect заявили, что теперь все зарегистрированные пользователи форума получат персональный доступ к партнёрской программе. По сути, это означает массовое привлечение новых соисполнителей. Многие из них могут оказаться новичками, поэтому Vect обещает прямую техническую поддержку и помощь в развёртывании атак.

Сотрудничество с TeamPCP вызывает особую тревогу. Эта группа уже имеет опыт взлома доверенных обновлений программного обеспечения. Объединение усилий позволяет Vect получать готовый доступ к корпоративным сетям через скомпрометированные цепочки поставок. Иными словами, злоумышленники могут сначала украсть учётные данные или внедрить закладку в обновление популярного приложения, а затем использовать этот доступ для запуска программы-вымогателя.

Финансовая модель группировки построена на пятиуровневой системе отчислений. На начальном уровне партнёр получает 80 процентов от выкупа, на высшем - до 89 процентов. Доля оператора, напротив, уменьшается с 20 до 11 процентов. Для стимулирования активности действует система прогрессии: чем больше денег приносит партнёр, тем выше его доля. Минимальная сумма для вывода средств составляет одну тысячу долларов. Интересная деталь касается географии: для участников из стран СНГ вход в программу бесплатный, тогда как остальные должны заплатить 250 долларов. Это стандартная практика для многих русскоязычных группировок вымогателей.

С точки зрения инфраструктуры, Vect использует три отдельных скрытых сервера: портал для регистрации партнёров, интерфейс для переговоров с жертвами и публичный сайт, на котором публикуются данные украденные у отказавшихся платить компаний. Такая структура копирует модель зрелых RaaS-операций.

Технический анализ образца программы-вымогателя Vect выявил несколько важных деталей. Вопреки заявлениям разработчиков, код имеет явное сходство с семейством DEVMAN. Это может означать, что либо авторы использовали его в качестве основы, либо речь идёт о ребрендинге. Вредоносная программа содержит около восьмидесяти зашифрованных конфигурационных строк, включая пути к скрытым папкам, команды для удаления резервных копий и отключения защитных средств. Например, Vect использует команду vssadmin для удаления всех теневых копий томов, лишая жертву возможности восстановить файлы без выкупа.

Одна из самых опасных функций - принудительная загрузка в безопасный режим Windows. Вредоносная программа изменяет конфигурацию загрузчика, чтобы при следующем перезапуске система запустилась с минимальным набором драйверов. Это позволяет обойти большинство современных средств защиты, которые не работают в безопасном режиме. После завершения шифрования Vect возвращает нормальную загрузку, чтобы жертва могла увидеть заблокированные файлы и записку с требованием выкупа.

Столь же тревожно выглядит подход к шифрованию. Для файлов размером менее 128 килобайт используется полное шифрование. Более крупные файлы шифруются только частично - четырьмя блоками по 32 килобайта, расположенными равномерно по всему файлу. Однако анализ показал, что в конец записывается лишь последний использованный одноразовый код. Это означает, что первые три фрагмента расшифровать невозможно без дополнительной информации. Тем не менее, малые файлы (до 128 килобайт) можно восстановить, зная статический ключ шифрования, который оказался одинаковым для всех жертв.

Судя по данным с сайта утечек, на конец апреля 2026 года Vect атаковал как минимум 25 организаций. Самое большое количество жертв зафиксировано в США и Бразилии. По две атаки пришлось на ЮАР, Индию и Египет. География показывает, что группа нацелена на международный бизнес и не ограничивается одним регионом.

Запуск партнёрской программы, а также интеграция с крупным подпольным форумом и опытной группой по взлому цепочек поставок делают Vect серьёзной угрозой. Рынок вымогателей продолжает консолидироваться, а появление новых игроков с агрессивной стратегией набора партнёров грозит ростом числа атак на средний бизнес, который чаще всего не имеет достаточной защиты от подобных угроз.

URLs

• http://vectordntlcrlmfkcm4alni734tbcrnd5lk44v6sp4lqal6noqrgnbyd.onion

MD5

• 5a11114ae1d735cc5d5dd972744a9151

SHA1

• 5c991eebef06a5aa4f785a1708ab125757bed4c7

SHA256

• a2cee05b988595aabb7c4418c8d5f7d05fc86d46be1c23578522ec9e26ecaa12