Ransomware VECT 2.0: Nguy hiểm kiểu data wiper

VECT 2.0 là một biến thể ransomware mới được ghi nhận trong bối cảnh tin tức bảo mật, nhưng thiết kế của nó cho thấy một lỗi nghiêm trọng: thay vì chỉ mã hóa dữ liệu và đòi tiền chuộc, VECT 2.0 có thể làm hỏng vĩnh viễn các tệp lớn hơn 128 KB. Với đặc tính này, một số dữ liệu quan trọng có thể trở nên không thể khôi phục ngay cả khi nạn nhân thanh toán.

Thông tin kỹ thuật về VECT 2.0 ransomware

VECT Ransomware lần đầu xuất hiện vào tháng 12/2025 trên một diễn đàn tội phạm mạng sử dụng tiếng Nga, theo mô hình Ransomware-as-a-Service (RaaS). Nhóm vận hành ghi nhận hai nạn nhân đầu tiên trong tháng 1/2026 và phát hành phiên bản 2.0 vào tháng 2/2026. Biến thể này được mở rộng để nhắm tới Windows, Linux và VMware ESXi.

Đến tháng 3/2026, VECT công bố hợp tác với một tác nhân đe dọa khác liên quan đến các cuộc tấn công chuỗi cung ứng, từng chèn mã độc vào các gói được sử dụng rộng rãi như Trivy, Checkmarx KICS, LiteLLM và Telnyx. Thông tin phân tích có thể tham khảo từ nguồn nghiên cứu của Check Point: Check Point Research.

Cách thức hoạt động của VECT ransomware

VECT được viết bằng C++ và sử dụng cùng một codebase cho cả ba nền tảng. Mỗi biến thể dùng thuật toán ChaCha20-IETF (RFC 8439) thông qua thư viện libsodium. Tệp sau khi mã hóa được đổi đuôi thành .vect, đồng thời hệ thống bị xâm nhập sẽ xuất hiện file đòi tiền chuộc có tên !!!READ_ME!!!.txt.

Điểm đáng chú ý của VECT ransomware là mô hình affiliate mở. Theo mô tả, mọi thành viên đã đăng ký trên diễn đàn có thể triển khai ransomware như một affiliate mà không qua quy trình thẩm định thông thường. Điều này làm giảm đáng kể rào cản tham gia đối với các tác nhân ít kinh nghiệm.

Lỗi thiết kế khiến ransomware trở thành data wiper

Lỗi nghiêm trọng nhất của VECT 2.0 ransomware nằm ở cách xử lý nonce trong quá trình mã hóa. Khi xử lý một tệp lớn, malware chia tệp thành 4 phần và mã hóa từng phần bằng một nonce ngẫu nhiên dài 12 byte.

Vấn đề phát sinh khi cả bốn lần gọi mã hóa đều ghi nonce vào cùng một bộ nhớ đệm chia sẻ. Mỗi nonce mới sẽ ghi đè nonce trước đó. Kết quả là khi quá trình kết thúc, chỉ nonce của phần thứ tư còn tồn tại và được ghi xuống đĩa cùng với tệp đã mã hóa.

Vì giải mã bằng ChaCha20-IETF yêu cầu đúng khóa và nonce tương ứng cho từng phần, ba phần đầu của tệp lớn sẽ không thể khôi phục. Các nonce bị ghi đè không được lưu trên đĩa, không nằm trong registry và cũng không được gửi tới máy chủ của kẻ tấn công ở bất kỳ biến thể nào.

Tác động hệ thống và phạm vi ảnh hưởng của VECT 2.0

Ngưỡng 128 KB đủ thấp để chạm tới hầu hết các loại tệp có ý nghĩa vận hành, bao gồm:

• VM disk images
• cơ sở dữ liệu
• bản sao lưu
• bảng tính
• email archives

Với các tệp này, ransomware không chỉ làm gián đoạn truy cập mà còn tạo ra tình trạng mất dữ liệu vĩnh viễn. Đây là một rủi ro bảo mật đặc biệt nghiêm trọng vì dữ liệu quan trọng không còn khả năng khôi phục bằng decryptor hợp lệ.

Phân tích cho thấy lỗi này tồn tại trong cả ba biến thể nền tảng và đã xuất hiện trước bản phát hành 2.0, nhưng chưa từng được khắc phục ở các lần triển khai trước.

IOC và dấu hiệu nhận biết

• File extension: .vect
• Ransom note: !!!READ_ME!!!.txt
• Hành vi: mã hóa hàng loạt, đổi tên tệp hàng loạt, xóa shadow copy, tắt phòng vệ hệ thống
• Dấu hiệu trên Windows: thay đổi cấu hình khởi động safe-mode, xóa log sự kiện, vô hiệu hóa Windows Defender bằng PowerShell

Biện pháp phát hiện và giảm thiểu

Để phát hiện xâm nhập sớm, cần theo dõi các hành vi như kết thúc tiến trình hàng loạt, xóa shadow copy đột ngột và đổi tên hàng loạt sang đuôi .vect. Đây là các tín hiệu phù hợp để tích hợp vào IDS hoặc hệ thống giám sát hành vi.

Về mặt phòng thủ, cần duy trì offline backup và air-gapped backup để tránh truy cập qua network share hoặc lan truyền ngang. Ngoài ra, do có yếu tố chuỗi cung ứng trong bối cảnh liên quan, việc xác thực tính toàn vẹn của phần mềm bên thứ ba là cần thiết để giảm nguy cơ bảo mật.

Một số chỉ báo hành vi cần chú ý trong an ninh mạng gồm:

• Tắt hoặc vô hiệu hóa Windows Defender bằng script PowerShell
• Xóa event logs
• Thay đổi cấu hình khởi động safe-mode
• Đổi tên đồng loạt tệp sang .vect

Trong bối cảnh cảnh báo CVE hoặc lỗ hổng CVE liên quan đến ransomware, việc ưu tiên cập nhật bản vá, kiểm tra dependency và giám sát hành vi là các bước phù hợp để giảm rủi ro an toàn thông tin.

VECT 2.0 ransomware cho thấy một trường hợp hiếm: mã độc được thiết kế để mã hóa dữ liệu nhưng lại vận hành như một data wiper với khả năng phá hủy tệp lớn. Điều này khiến các tổ chức cần xem xét kỹ các dấu hiệu phát hiện tấn công, đặc biệt trên các hệ thống Windows, Linux và VMware ESXi.