VECT 2.0 랜섬웨어가 Windows, Linux, ESXi에서 131KB 초과 파일을 영구적으로 파괴

Source: The Hacker News

Overview

위협 사냥꾼들은 VECT 2.0이라 알려진 사이버 범죄 작전이 Windows, Linux, ESXi 변형 전반에 걸친 암호화 구현의 치명적인 결함 때문에 랜섬웨어라기보다 와이퍼에 더 가깝다고 경고하고 있습니다. 이 결함으로 인해 복구가 불가능하며, 심지어 위협 행위자 자신조차도 복구할 수 없습니다.

VECT의 잠금 프로그램이 파일을 암호화하는 대신 대용량 파일을 영구적으로 파괴하기 때문에, 몸값을 지불하는 피해자조차도 데이터에 접근할 수 있을 가능성이 낮습니다.

Technical Details

• Encryption flaw: 랜섬웨어는 파일을 제대로 암호화하지 못하는 결함이 있는 알고리즘을 사용하여, 복구가 불가능한 손상된 데이터를 생성합니다.
• Affected platforms:
  • Windows
  • Linux
  • VMware ESXi
• Impact: 대용량 파일이 되돌릴 수 없게 파괴되어, 공격이 사실상 데이터 와이핑 작업이 됩니다.

Threat Actor Response

• VECT 2.0을 만든 그룹은 자체적으로도 암호화된 파일을 복구하지 못했다고 보고되었으며, 이는 결함이 랜섬웨어 핵심 코드에 존재함을 의미합니다.
• 피해자들은 데이터 복구가 보장되지 않으므로 몸값을 지불하지 말아야 합니다.

Recommendations for Organizations

1. Isolate infected systems 즉시 격리하여 횡방향 이동을 방지합니다.
2. Preserve forensic evidence (메모리 덤프, 디스크 이미지) 를 복구 작업을 시도하기 전에 보존합니다.
3. Restore from backups: 백업이 오프라인 상태이며 손상되지 않았는지 확인합니다.
4. Patch and update 모든 시스템, 특히 취약한 버전의 Windows, Linux, ESXi를 실행 중인 시스템을 최신 상태로 유지합니다.
5. Implement network segmentation 네트워크 세분화를 적용해 랜섬웨어 확산을 제한합니다.

Detection and Mitigation

• Endpoint Detection and Response (EDR) 도구는 VECT 2.0과 연관된 비정상적인 파일 삭제 행동을 탐지할 수 있습니다.
• Network traffic monitoring 은 비정상적인 SMB 또는 RDP 연결을 모니터링하여 초기 감염 단계를 식별하는 데 도움이 됩니다.
• File integrity monitoring 은 대용량 파일이 예상치 못하게 변경되거나 삭제될 때 관리자에게 경고합니다.

Conclusion

VECT 2.0의 암호화 결함은 이를 파괴적인 와이퍼로 전환시켜 전통적인 랜섬웨어 복구 방법을 무효화합니다. 조직은 몸값을 지불하기보다 예방, 신속한 격리, 신뢰할 수 있는 백업 전략에 집중해야 합니다.