Đừng trả tiền chuộc cho Vect - dữ liệu của bạn có lẽ đã bị xóa sạch rồi

Các tổ chức bị ảnh hưởng bởi làn sóng các cuộc tấn công chuỗi cung ứng nhắm vào Trivy và LiteLLM, và đã trả tiền cho nhóm tội phạm Vect với hy vọng khôi phục dữ liệu, có lẽ đã không nhận lại được gì nhiều. Theo Check Point Research, lý do là vì ransomware mà Vect sử dụng thực chất không phải là ransomware, mà là một wiper (công cụ xóa dữ liệu) phá hủy mọi tệp lớn hơn 128KB.

Vect thực chất là một công cụ xóa dữ liệu (Wiper)

Theo các nhà nghiên cứu tại Check Point Research (CPR), nhóm tội phạm mạng Vect đang hoạt động tích cực sau khi hợp tác với nhóm TeamPCP để khai thác các lỗ hổng trong chuỗi cung ứng phần mềm. Tuy nhiên, nạn nhân của họ cần lưu ý một chi tiết quan trọng: mã độc mà Vect sử dụng không thực sự là ransomware (mã độc tống tiền) mà là một wiper.

Nguyên nhân là do lỗi lập trình nghiêm trọng trong Vect 2.0. Thay vì mã hóa các tệp lớn để sau đó yêu cầu tiền chuộc trả lại khóa giải mã, phần mềm này vĩnh viễn phá hủy mọi tệp có kích thước lớn hơn 131.072 byte (128 KB).

"Việc khôi phục hoàn toàn là không thể đối với bất kỳ ai, kể cả chính kẻ tấn công," các nhà phân tích bảo mật của CPR viết trong báo cáo.

Với ngưỡng chỉ 128 KB, điều này có nghĩa là VECT hoạt động như một wiper đối với hầu hết mọi tệp chứa dữ liệu có ý nghĩa, bao gồm các tài sản doanh nghiệp như đĩa ảo (VM disk), cơ sở dữ liệu, tài liệu và bản sao lưu. CPR xác nhận lỗi này tồn tại trong tất cả các phiên bản VECT công khai hiện có.

Lỗi kỹ thuật và sự thiếu chuyên nghiệp

Vect quảng cáo ransomware của mình bao gồm các biến thể cho Windows, Linux và ESXi. Tất cả đều chia sẻ thiết kế mã hóa dựa trên thư viện libsodium, cùng ngưỡng kích thước tệp và logic chia nhỏ dữ liệu thành bốn phần. Tuy nhiên, chúng đều mắc phải cùng một lỗi: quá trình triển khai mã hóa đã loại bỏ ba trong số bốn nonce (giá trị ngẫu nhiên dùng một lần) cần thiết để giải mã cho mọi tệp lớn hơn 128 KB.

Ngoài lỗi xử lý nonce, các chuyên gia phân tích mã độc còn phát hiện "nhiều" lỗi khác và thất bại trong thiết kế trên tất cả các biến thể ransomware. Điều này cho thấy rằng ngay cả những tội phạm mạng cũng không thể viết mã để vận hành một hoạt động thành công. Như các nhà nghiên cứu nhận định: "Các tác giả biết một công cụ ransomware chuyên nghiệp cần có những tính năng gì, nhưng rõ ràng họ gặp khó khăn trong việc triển khai đúng hoặc hoàn toàn không thể thực hiện được."

Bối cảnh tấn công chuỗi cung ứng

Vect là một trong những nhóm tội phạm hợp tác với TeamPCP để rò rỉ dữ liệu và tống tiền các nạn nhân của các cuộc tấn công chuỗi cung ứng đang diễn ra, lây nhiễm các công cụ như Trivy, LiteLLM, Checkmarx và Telnyx.

Sau khi xâm nhập thành công các công cụ bảo mật và phát triển, lây nhiễm chúng với phần mềm độc hại tự lan truyền để lấy thông tin đăng nhập, TeamPCP và Vect đã công bố sự hợp tác mới của họ trên BreachForums. Chúng tự hào tuyên bố sẽ "thực hiện các hoạt động chuỗi cung ứng lớn hơn nữa" và "xâu chuỗi các sự xâm nhập này thành các chiến dịch ransomware tàn khốc tiếp theo."

Trang web rò rỉ dữ liệu của Vect liệt kê 25 tổ chức kể từ tháng 1 và 4 tổ chức kể từ tháng 3, thời điểm bắt đầu các hoạt động tống tiền từ các cuộc tấn công chuỗi cung ứng. Tuy nhiên, vẫn chưa rõ có bao nhiêu trong số các tổ chức này thực sự liên quan đến các lỗ hổng của Trivy và LiteLLM.

Vào ngày 15/4, nhóm này tuyên bố hai nạn nhân lớn hơn là Guesty (700GB) và S&P Global (250GB), bị cáo buộc liên quan đến các sự xâm nhập TeamPCP trước đó. Tuy nhiên, các tuyên bố này chưa thể được xác nhận độc lập và không có thông tin xác thực nào về việc bao nhiêu trường hợp trong số này dẫn đến việc thanh toán tiền chuộc thành công so với việc dữ liệu bị rò rỉ mà không cần trả tiền.

Với việc mã độc thực chất là một wiper, lời khuyên dành cho các tổ chức là không nên trả tiền chuộc cho nhóm Vect, vì dữ liệu đã bị phá hủy và không thể khôi phục.