VECT 2.0

U aprilu 2026. godine, istraživači iz Check Point Research (CPR) otkrili su kritičnu grešku u novom ransomware-u pod nazivom VECT 2.0, koji je brzo postao tema u cyber-bezbednosnoj zajednici. Ono što je trebalo da bude sofisticirani alat za šifrovanje podataka i iznudu otkupa, u praksi se pokazalo kao data wiper (brisač podataka) za većinu važnih fajlova. Fajlovi veći od 131.072 bajta (128 KB) nisu šifrovani na način koji omogućava oporavak – oni su trajno uništeni, jer su neophodni kriptografski nonces odbačeni tokom izvršavanja. Čak ni napadači ne mogu da vrate podatke, čak i ako žrtva plati otkup.

Ova greška pretvara VECT 2.0 iz klasičnog ransomware-a u alat koji nanosi nepopravljivu štetu, a žrtve koje plate otkup ostaju bez ikakve koristi. Analiza pokazuje da bug postoji u svim varijantama – za Windows, Linux i VMware ESXi – i da je prisutan od ranijih verzija, pre javnog predstavljanja 2.0.

Ko je VECT 2.0 i kako je nastao?

VECT je relativno novi igrač na sceni ransomware-a kao usluge (RaaS – Ransomware as a Service). Grupa je počela da se ističe krajem 2025. i početkom 2026. godine, sa rebrendingom u VECT 2.0. Koriste sopstveni kod napisan u C++, za razliku od mnogih drugih grupa koje recikliraju curene izvorne kodove poput LockBit ili Conti. Ovo im daje izvesnu originalnost i fleksibilnost.

Malver je dizajniran za multi-platform napade: pogađa Windows radne stanice, Linux servere i VMware ESXi hipervizore, što ga čini posebno opasnim za enterprise okruženja. Koristi model „Exfiltration / Encryption / Extortion“ – prvo krade podatke, zatim ih „šifruje“ i traži otkup, uz pretnju objavljivanjem ukradenih podataka na svom Data Leak Site (DLS).

Grupa je aktivna na dark web forumima poput BreachForums, gde nudi svoj alat affiliate partnerima. Plaćanja primaju isključivo u Monero (XMR) kriptovaluti, koriste TOR infrastrukturu i imaju solidne operativne bezbednosne prakse. U februaru 2026. prijavljeno je oko 20 žrtava, sa fokusom na Brazil i Sjedinjene Države, ali su mete globalne. Neki napadi su bili povezani sa supply-chain kompromisima, poput onih koji uključuju Trivy i LiteLLM.

VECT se reklamira kao brz i efikasan zahvaljujući delimičnom (intermittent) šifrovanju – ne šifruje ceo fajl, već samo delove, što ubrzava proces. Međutim, upravo ta „optimizacija“ je dovela do katastrofalne greške.

Tehnička analiza: Kako VECT 2.0 „šifruje“ (i uništava) fajlove

Prema detaljnoj analizi Check Point Research, VECT koristi biblioteku libsodium i algoritam ChaCha20-IETF (RFC 8439) za šifrovanje. Važno je napomenuti da nije reč o ChaCha20-Poly1305 AEAD (sa autentifikacijom), kako je grupa prvobitno tvrdila, već o sirovom ChaCha20 bez integriteta zaštite. To znači da nema MAC (Message Authentication Code), pa je proces ranjiviji.

Proces rada sa fajlovima izgleda ovako:

Fajl se preimenuje tako što se doda ekstenzija .vect.

Fajl se otvara in-place (na mestu) i obrađuje.

Za male fajlove (do 128 KB) ponašanje je drugačije – neki se samo preimenuju sa nasumičnim podacima u footer-u.

Za fajlove veće od 131.072 bajta (128 KB) – što obuhvata praktično sve važne enterprise podatke (baze podataka, VM diskovi, dokumenti, backupovi, arhive) – malver deli fajl na četiri chunk-a (delova).

Za svaki chunk generiše se novi, nasumični 12-bajtni nonce (jednokratni broj neophodan za ChaCha20 stream cipher). Ključ je isti za ceo fajl, ali svaki chunk zahteva svoj tačan nonce da bi se dešifrovao.

Ključna greška: Sva četiri noncea se generišu u istoj memorijskoj promenljivoj (buffer-u). Svaki novi poziv randombytes() (iz libsodium-a) prepisuje prethodni. Na kraju procesa, u fajl se upisuje samo poslednji nonce (za četvrti chunk) kao footer. Prva tri noncea su trajno odbačena – nisu sačuvana ni na disku, ni u registru, ni poslata operateru preko mreže.

Pošto ChaCha20 zahteva tačan par ključ + nonce za svaki chunk, prvih 75% fajla postaje nepovratno uništeno. Samo poslednji deo (četvrtina) može eventualno da se dešifruje ako bi neko imao ključ, ali to je praktično beskorisno za oporavak celog fajla.

Nonces se generišu iz kriptografski sigurnih izvora:

Na Windows-u: preko RtlGenRandom / ProcessPrng (bcryptprimitives.dll).

Na Linux-u i ESXi-ju: preko kernel CSPRNG-a (getrandom() ili /dev/urandom).

Ovi vrednosti su potpuno nepredvidivi i ne mogu se rekonstruisati naknadno. Nema sidecar fajlova, nema exfiltracije noncesa – jednostavno nestanu kada se buffer overwrituje.

Rezultat? VECT nije ransomware za većinu fajlova. On je wiper sa ransomware porukom. Čak i ako operateri pošalju „dešifrovac“, on neće raditi za fajlove veće od 128 KB, jer neophodni podaci više ne postoje nigde na svetu.

Ista greška je prisutna u svim tri platforme, što ukazuje na jedinstvenu code base koja je portovana.

Posledice za žrtve i napadače

Za žrtve je situacija katastrofalna:

Većina kritičnih podataka (baze, virtuelne mašine, dokumentacija, backupovi) prelazi prag od 128 KB.

Plaćanje otkupa ne donosi oporavak. Napadači ne mogu da isporuče funkcionalan decryptor jer su nonces uništeni u trenutku izvršavanja malvera.

Ako je došlo i do exfiltracije podataka, oni ostaju ukradeni i mogu biti objavljeni.

Preporuka stručnjaka je jasna: Ne plaćajte. Plaćanje samo finansira kriminalce bez ikakve garancije.

Za napadače (operatere VECT RaaS-a) ovo je ogroman reputacioni i poslovni udarac. Ransomware biznis se oslanja na poverenje affiliate partnera i plaćanje žrtava. Ako se pročuje da njihov alat uništava podatke umesto da ih zaključava, žrtve će prestati da plaćaju, a affiliate-i će tražiti druge alate. Neki analitičari spekulišu da je kod delimično generisan pomoću AI alata ili „vibe-coded“, što objašnjava ovako elementarne greške u rukovanju memorijom i kriptografijom.

Šire implikacije za cyber bezbednost

Slučaj VECT 2.0 pokazuje nekoliko važnih lekcija:

Kvalitet koda u ransomware-u varira — Čak i „profesionalni“ custom C++ malver može imati katastrofalne bug-ove.

Brzina nije sve — Optimizacije poput chunk-ovanja i intermittent encryption-a mogu dovesti do gubitka funkcionalnosti.

Multi-platforma donosi rizike — Greška koja se replicira preko Windows/Linux/ESXi pokazuje koliko je važno testirati kod na svim ciljnim okruženjima.

Ne verujte u „dešifrovac“ slepo — Žrtve treba da traže nezavisnu verifikaciju pre bilo kakvog plaćanja.

U enterprise okruženjima, gde su VM diskovi, baze podataka i backupovi obično mnogo veći od 128 KB, VECT deluje kao čisti destruktivni malver. To može dovesti do potpunog gubitka operativnih podataka, prekida poslovanja i visokih troškova oporavka iz rezervi (ako postoje).

Kako se zaštititi od sličnih pretnji?

Iako je VECT specifičan, principi odbrane su univerzalni:

Backup strategija 3-2-1-1: Tri kopije, na dva različita tipa medija, jedna van mreže (air-gapped ili immutable). Testirajte restore redovno.

Segmentacija mreže i princip najmanjih privilegija – ograničite lateral movement.

Endpoint Detection and Response (EDR) i XDR rešenja koja prate ponašanje, a ne samo signatute.

Patch management i minimizacija attack surface-a (posebno za ESXi i Linux servere).

Zero-trust pristup i multi-factor autentifikacija svuda.

Obuka zaposlenih protiv phishing-a i social engineering-a, jer je to čest ulazni vektor.

Praćenje dark weba i threat intelligence-a za nove RaaS grupe.

Za organizacije koje sumnjaju na infekciju VECT-om, preporučuje se izolacija sistema, forenzička analiza i konsultacije sa stručnjacima. Ne pokušavajte sami da „dešifrujete“ fajlove – rizikujete dalje oštećenje.

Zaključak

VECT 2.0 je primer kako jedna greška u implementaciji kriptografije može pretvoriti ambiciozni ransomware projekat u alat za masovno uništavanje podataka. Fajlovi preko 131 KB nisu zaključani – oni su nepovratno uništeni. Napadači su izgubili ključni deo svog poslovnog modela: mogućnost da isporuče ono što prodaju.

Ova priča podseća da cyber kriminalci nisu nepogrešivi genijalci. Često su to timovi pod pritiskom koji prave elementarne greške u složenim sistemima. Za žrtve je poruka jasna: ne plaćajte – podaci su verovatno već izgubljeni. Za branioce, ovo je još jedan poziv na jačanje odbrambenih slojeva i pouzdanih backupova.

U svetu gde ransomware evoluira brže od mnogih odbrana, slučaj VECT pokazuje da ponekad najveća opasnost dolazi iz grešaka samih napadača. Ali to ne znači da smemo da se opustimo – naprotiv, moramo biti spremni na sledeću, bolje napisanu pretnju.