- Se ha descubierto que una nueva variante de ransomware actúa como un limpiador de datos destructivo
- El manejo defectuoso del nonce provoca la pérdida permanente de archivos de más de 128 KB
- A pesar de comercializarse como RaaS, las víctimas no pueden recuperar datos incluso si pagan
VECT 2.0, una variante de ransomware relativamente nueva que se ofrece a la venta en foros de la web oscura, en realidad no funciona y actúa como un limpiador de datos en lugar de un cifrador, advierten los investigadores.
En un nuevo informe detallado, la organización de ciberseguridad Check Point explica que el problema radica en la forma en que VECT 2.0 maneja las “tonterías”: los valores aleatorios necesarios para cifrar y luego descifrar datos correctamente. Aparentemente, el malware divide archivos grandes en fragmentos, pero en lugar de utilizar nuevo espacio de memoria para cada fragmento, reutiliza el mismo, sobrescribiendo así el anterior.
En otras palabras, pierde la “clave” de la mayor parte del archivo a medida que avanza. Sólo se puede recuperar la última parte del archivo, el resto se destruye permanentemente. Entonces, incluso si las víctimas deciden pagar el rescate, no podrán recuperar sus archivos, e incluso si quisieran, los actores de amenazas no pueden evitarlo.
El artículo continúa a continuación.
Trabajando en equipo con TeamPCP
Para empeorar las cosas, lo que Encryptor considera un “archivo grande” también está mal. El punto de control dice que todo lo que supere los 128 kb, que es ridículamente pequeño para los estándares actuales, terminará.
“Con un umbral de sólo 128 KB, más pequeño que un típico archivo adjunto de correo electrónico o un documento de oficina, lo que el código clasifica como un archivo grande incluye no sólo discos de VM, bases de datos y copias de seguridad, sino también documentos de rutina, hojas de cálculo y buzones de correo. En la práctica, la víctima no estará interesada en recuperar casi nada”, se lee en la orden.
Recientemente, VECT se ha estado publicitando en foros de la web oscura, ofreciendo un modelo de ransomware como servicio e invitando a colaboradores y asociándose con TeamPCP, un actor de amenazas relativamente joven que ya se ha hecho un nombre con ataques exitosos contra Trivy, LiteLLM, Telnyx y la Comisión Europea.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
