Des chercheurs alertent sur le ransomware VECT 2.0, dont la gestion des nonces d’encryption entraîne la destruction permanente de fichiers volumineux au lieu de les chiffrer. Ce défaut rend certaines données totalement irrécupérables.
Le ransomware VECT a été promu sur l’une des dernières versions de BreachForums, qui incitait les utilisateurs enregistrés à devenir des affiliés en leur distribuant des clés d’accès par messages privés.
A un moment donné, les opérateurs de VECT ont annoncé un partenariat avec TeamPCP, le groupe de menace impliqué dans de récentes attaques contre des chaînes d’approvisionnement touchant Trivy, LiteLLM et Telnyx, ainsi qu’une attaque ciblant la Commission Européenne.
Dans cette annonce, les opérateurs de VECT ont indiqué leur intention d’exploiter les victimes de ces compromissions de chaînes d’approvisionnement, en déployant des charges de ransomware dans leur environnement, tout en cherchant à réaliser des attaques de chaînes d’approvisionnement de plus grande envergure.
Source: Check Point
Ransomware défectueux
La méthode adoptée pour accélérer la vitesse d’encryption des fichiers volumineux utilise un même tampon mémoire pour la sortie de nonce, ce qui fait que chaque nonce écrase le précédent. Ainsi, à la fin du traitement, seul le dernier nonce est conservé en mémoire et écrit sur le disque.
Les conséquences sont désastreuses : seulement 25 % du fichier est récupérable, les trois autres quarts étant rendus irrécupérables en raison de la perte des nonces. De plus, ces nonces perdus ne sont pas transmis à l’attaquant, rendant impossible toute tentative de déchiffrement des fichiers pour les victimes, même si elles choisissent de payer la rançon.
Source: Check Point
Selon Check Point, le VECT 2.0 peut avoir un impact catastrophique dans les environnements d’entreprise, car la plupart des fichiers critiques, comme les disques de machines virtuelles, les bases de données et les sauvegardes, dépassent 128 Ko. Ce seuil est inférieur à celui de pièces jointes courantes ou de documents bureautiques, ce qui signifie que les fichiers que pourrait vouloir récupérer une victime se trouvent souvent au-dessus de cette limite.
Les chercheurs ont constaté que cette faille de gestion des nonces se retrouve dans toutes les variantes de VECT 2.0, y compris pour Windows, Linux et ESXi, rendant ainsi le comportement destructeur général.