Když kyberzločinci prostřednictvím ransomwaru zašifrují firmě data, zpravidla slibují, že je za určitý poplatek zase dešifrují. To ale nemusí fungovat vždy. Když škodlivý systém VECT šifruje velké soubory – a prakticky každý soubor, který je pro podnik důležitý, do této kategorie spadá – trvale vymaže informace potřebné k zvrácení procesu. Neexistuje žádný klíč, kterým by bylo možné data dešifrovat a získat zpět. Ani zaplacení výkupného tak nepomůže. Upozorňují na to zástupci společnosti Check Point Software Technologies.
Ransomwarová skupina VECT se objevila na konci roku 2025 s neobvyklou ambicí. Místo tradiční spolupráce s malou, ale prověřenou skupinou kriminálních partnerů otevřela své brány všem a nabídla spolupráci tisícům zájemců o kyberzločin jako službu. Navázala oficiální partnerství s významným kyberzločineckým tržištěm BreachForums a poskytla přístup ke své ransomwarové platformě všem registrovaným členům.
VECT současně oznámil partnerství se skupinou TeamPCP, která je zodpovědná za sérii nebezpečných útoků na dodavatelské řetězce z počátku tohoto roku. Cílem má být využití předchozích útoků jako odrazového můstku pro ransomwarové útoky na dříve zasažené společnosti.
Kyberbezpečnostní společnost Check Point Software Technologies získala dle svých zástupců přístup k partnerskému panelu a šifrovacím nástrojům, analýza ukázala několik šokujících věcí, které prý ani skupina VECT sama netuší. Ransomware má několik zásadních chyb, takže je mnohem destruktivnější a méně ziskový, než bylo zamýšleno.
„Ransomware VECT je spíše dílem nováčků než zkušených kyberzločinců. Chyby jsou identické na všech platformách a v žádné verzi nebyly opraveny, což by zkušený tým neudělal. Nelze vyloučit ani možnost, že části kódu byly vygenerovány s pomocí umělé inteligence, což by vysvětlilo, proč řada věcí na první pohled vypadá tak precizně, ale přitom obsahuje zcela zásadní chyby. Ukazuje se, že skupina není tak profesionální, jak tvrdí,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Ransomware má umožnit útočníkům zašifrovat kritické soubory a požadovat za zpřístupnění dešifrovacího klíče výkupné. To je obchodní model, který řada vyděračských skupin využívá. Tlak umocňuje ještě hrozba, že budou zveřejněna ukradená citlivá data. VECT tento model ale staví na hlavu, a to nikoli záměrně, ale omylem.
Když VECT šifruje velké soubory – a prakticky každý soubor, který je pro podnik důležitý, do této kategorie spadá – trvale vymaže informace potřebné k zvrácení procesu. Neexistuje žádný klíč, kterým by bylo možné data dešifrovat a získat zpět. Útočník nemůže poskytnout funkční dešifrovací nástroj, a to nikoliv proto, že by nechtěl, ale proto, že prostředky k dešifrování nikde neexistují.
To se týká souborů, které skupiny používající ransomware obvykle využívají jako svou nejsilnější páku: image virtuálních strojů, databáze, zálohy a archivy. Pro tento typ souborů není VECT ransomwarem, ale wiperem, tedy nástrojem na ničení dat, s přiloženou žádostí o výkupné.
Check Point zjistil, že tato chyba existuje ve všech třech verzích ransomwaru VECT (Windows, Linux a VMware ESXi), byla přítomna ve všech známých mutacích a nikdy nebyla opravena.
VECT se snaží působit důvěryhodně. Panel pro partnery je profesionální, partnerství jsou skutečná a marketing propracovaný. Ale analýza samotného kódu odhaluje něco jiného.
Několik inzerovaných funkcí buď zcela chybí nebo nefunguje. K dispozici je možnost nastavit rychlost šifrování, ale každý útok probíhá identicky bez ohledu na to, jaké nastavení je zvoleno.
Nástroje, které mají umožnit ransomwaru vyhnout se detekci, byly sice vytvořeny a implementovány, ale ve skutečnosti se nikdy neaktivují. Jakýkoli bezpečnostní výzkumník může spustit VECT bez únikové reakce ze strany samotného malwaru.
Nejedná se o drobná opomenutí. Jsou to chyby, které by odhalilo základní testování, a naznačují, že skupina se profesionálně tváří jen navenek.
„Existují také důkazy, že ransomware VECT mohl být vybudován na základě uniklého ransomwarového kódu z doby před rokem 2022. Ačkoli skupina tvrdí, že byl napsán nově od základu. Neobvyklé je totiž geografické omezení. VECT je nakonfigurován tak, aby se vyhnul útokům na cíle na Ukrajině, zemi, kterou většina rusky mluvících ransomwarových skupin přestala chránit po válce v roce 2022. To ukazuje na pravděpodobně starší kód, nikoli na záměrný ideologický postoj současných provozovatelů,“ dodává Kovalčík.
Zástupci společnosti Check Point Software Technologies doporučují:
Pokud jste byli napadeni:
Neplaťte. Pro velké soubory, mezi něž spadá drtivá většina dat kritických pro chod firmy, neexistuje funkční dešifrovací nástroj a nikdy existovat nebude. Zaplacením pouze posíláte peníze zločincům a nic za to nedostanete. Zaměřte se na obnovu dat ze záloh a okamžitě zapojte svůj tým pro řešení incidentů.
Pokud jste ještě nebyli napadeni:
Chyby v kódu neznamenají, že je ransomware VECT neškodný. Data mohou být ještě před začátkem šifrování ukradena. Navíc budoucí verze ransomwarového kódu mohou být vylepšené a obsahovat potřebné opravy. Skupinu VECT je potřeba sledovat, protože působí hodně ambiciózně a její partnerství s dalšími kyberzločinci z ní oprávněně dělá jednoho z největších strašáků.
Organizace, které čelily nedávným útokům ze strany TeamPCP, by měly okamžitě změnit přihlašovací údaje.
