Para peneliti keamanan siber mengeluarkan peringatan keras mengenai VECT 2.0, sebuah ransomware baru yang memiliki cacat logika fatal. Masalah pada cara ransomware ini menangani nonce (nomor acak sekali pakai) enkripsi justru menyebabkan kehancuran data secara permanen, bukan sekadar mengenkripsinya.
VECT pertama kali diiklankan di salah satu iterasi terbaru BreachForums, di mana operatornya mengundang pengguna terdaftar untuk menjadi afiliasi dan mendistribusikan kunci akses melalui pesan pribadi kepada mereka yang berminat.
Kemitraan Berbahaya dengan TeamPCP
Beberapa waktu lalu, operator VECT mengumumkan kemitraan strategis dengan TeamPCP, kelompok ancaman yang bertanggung jawab atas serangkaian serangan rantai pasokan (supply-chain attack) baru-baru ini yang berdampak pada Trivy, LiteLLM, dan Telnyx, serta serangan terhadap Komisi Eropa.
Dalam pengumuman tersebut, operator VECT menyatakan bahwa tujuan utama mereka adalah mengeksploitasi korban dari kompromi rantai pasokan tersebut dengan menyebarkan muatan ransomware di lingkungan mereka, serta untuk melakukan serangan rantai pasokan yang lebih besar terhadap organisasi lain.
Cacat Kriptografi Mengubahnya Menjadi ‘Wiper’
Ironisnya, ransomware yang dirancang untuk memeras korban ini justru memiliki kode yang cacat (faulty). Menurut analisis dari firma keamanan Check Point, cacat ini berkaitan dengan logika penanganan nonce saat memproses file berukuran besar.
Meskipun metode ini dirancang untuk meningkatkan kecepatan enkripsi untuk file berukuran besar (dengan membaginya menjadi beberapa bagian/chunks), semua proses enkripsi menggunakan buffer memori yang sama persis untuk output nonce. Akibatnya, setiap nonce baru akan secara otomatis menimpa (overwrite) nonce sebelumnya.
Setelah semua potongan data diproses, hanya nonce terakhir yang dihasilkan yang tersisa di memori, dan hanya itulah yang akhirnya ditulis ke dalam disk. Hasilnya sangat fatal:
- Hanya bagian 25% terakhir dari file tersebut yang berpotensi dapat dipulihkan.
- Tiga bagian sebelumnya mustahil untuk didekripsi, karena nonce aslinya telah hilang tertimpa.
Lebih buruk lagi, nonce yang hilang tersebut juga tidak dikirimkan kembali ke server penyerang. Jadi, sekalipun operator VECT berniat untuk mendekripsi file bagi korban yang telah patuh membayar uang tebusan, mereka sama sekali tidak akan mampu melakukannya. File tersebut hancur secara permanen.
Dampak Bencana bagi Perusahaan
Check Point mencatat bahwa kode VECT 2.0 mengklasifikasikan file berukuran lebih dari 128 KB sebagai “file besar”. Mengingat sebagian besar file perusahaan yang berharga memiliki ukuran jauh di atas batas tersebut, dampak VECT justru berubah menjadi alat penghapus data (data wiper) yang sangat merusak.
“Pada ambang batas hanya 128 KB, yang lebih kecil dari lampiran email biasa atau dokumen perkantoran, apa yang diklasifikasikan oleh kode sebagai file besar tidak hanya mencakup disk mesin virtual (VM), basis data, dan cadangan (backups), tetapi juga dokumen rutin, spreadsheet, dan kotak masuk email. Pada praktiknya, hampir tidak ada hal yang ingin dipulihkan oleh korban yang berada di bawah batas ini,” jelas para peneliti di Check Point.
Penyelidikan juga memastikan bahwa cacat penanganan nonce ini hadir secara merata di seluruh varian ransomware VECT 2.0, termasuk versi untuk Windows, Linux, dan ESXi. Dengan demikian, perilaku penghapusan data mutlak ini berlaku di semua kasus sistem operasi target.