3 часа назад

VECT: новая RaaS-угроза для Windows, Linux и ESXi

ВПО VECT — это новая и сложная ransomware-угроза, работающая по модели RaaS (Program-ransomware as a service). По данным отчета, активность группы началась в конце декабря 2025 года, а первые публичные сообщения о жертвах появились уже в январе 2026 года.

Ключевая особенность VECT — модульная архитектура, позволяющая атаковать не только Windows-среды, но и Linux, а также VMware ESXi. Такой подход заметно расширяет потенциальный радиус поражения и делает угрозу особенно опасной для корпоративной инфраструктуры.

Как работает шифрование

Для шифрования файлов VECT использует ChaCha20-IETF, при этом в процедуре применяется raw ChaCha20. Однако на практике реализация имеет важную особенность: при обработке файлов размером более 131 072 байт вредоносное ПО разбивает данные на четыре фрагмента, но сохраняет только последний 12-byte nonce.

Именно это приводит к серьезным последствиям для восстановления данных: при попытке расшифровать крупные файлы происходит значительная потеря информации. В то же время файлы меньшего размера, как отмечается в отчете, могут быть расшифрованы без существенных проблем благодаря более простой схеме обработки.

Признаки заражения

После шифрования VECT меняет расширение файлов на .vect. Помимо этого, ransomware создает несколько характерных артефактов, по которым можно обнаружить инцидент:

файл с ransom note под названием «!!!_READ_ME_!!!.txt»;
файл обоев, сигнализирующий об активности шифрования.

Методы сокрытия и закрепления в сети

VECT использует целый набор техник, направленных на уклонение от обнаружения и усложнение восстановления после атаки. В частности, вредоносное ПО:

отключает функции Windows Defender с помощью команд PowerShell;
удаляет shadow copies, лишая жертву точек восстановления;
систематически очищает system event logs, скрывая следы своей активности.

Кроме того, в коде VECT предусмотрены команды для lateral movement внутри сети. Среди них — использование административных общих ресурсов и создание Remote Access Service. Это означает, что угроза не ограничивается только шифрованием данных: она способна распространяться по корпоративной инфраструктуре, увеличивая масштаб инцидента.

Почему восстановление особенно затруднено

Отчет указывает, что к попыткам восстановления данных следует относиться с осторожностью. Причина в том, что при шифровании крупных файлов существенная часть nonce, критически важного для корректного дешифрования, не сохраняется. В результате восстановить зашифрованные данные без полной nonce-информации практически невозможно.

«Восстановление зашифрованных данных без полной информации nonce практически невозможно».

Вывод

VECT представляет собой зрелую и опасную ransomware-угрозу, сочетающую современные криптографические методы, механизмы скрытности и возможности перемещения внутри скомпрометированной сети. Для организаций это означает необходимость заранее выстраивать защиту, а не реагировать постфактум.

В числе ключевых мер защиты — регулярные и актуальные резервные копии, а также мониторинг аномальной активности PowerShell. Именно эти шаги способны снизить риски, связанные с данной развивающейся угрозой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: