นักวิจัยออกมาเตือนว่า แรนซัมแวร์ VECT 2.0 มีปัญหาในวิธีการจัดการค่า Nonce สำหรับการเข้ารหัส ซึ่งส่งผลให้ตัวแรนซัมแวร์ทำลายไฟล์ขนาดใหญ่อย่างถาวร แทนที่จะเป็นการเข้ารหัสไฟล์เหล่านั้น
VECT ได้ถูกนำไปโฆษณาบนเว็บบอร์ด BreachForums เวอร์ชันล่าสุด โดยมีการเชิญชวนผู้ใช้งานที่ลงทะเบียนให้มาเข้าร่วมเป็นเครือข่าย และมีการแจกจ่ายคีย์สำหรับการเข้าถึงผ่านทางข้อความส่วนตัวให้กับผู้ที่แสดงความสนใจ
ก่อนหน้านี้ ผู้ควบคุมแรนซัมแวร์ VECT ได้ประกาศเป็นพันธมิตรร่วมกับ TeamPCP ซึ่งเป็นกลุ่มภัยคุกคามที่อยู่เบื้องหลังการโจมตีแบบ Supply-chain attacks ล่าสุดที่ส่งผลกระทบต่อระบบของ Trivy, LiteLLM และ Telnyx รวมถึงการโจมตีคณะกรรมาธิการของยุโรปอีกด้วย
ในประกาศดังกล่าว ผู้ควบคุมแรนซัมแวร์ VECT ระบุว่า เป้าหมายของพวกเขาคือการใช้ประโยชน์จากเหยื่อที่ได้รับผลกระทบจากการถูกโจมตีแบบ Supply-chain เหล่านั้น โดยการฝัง Payloads ของแรนซัมแวร์ลงในระบบของเหยื่อ รวมถึงเพื่อดำเนินการโจมตีแบบ Supply-chain attacks ในสเกลที่ใหญ่ขึ้นกับองค์กรอื่น ๆ ด้วย
แรนซัมแวร์ที่ทำงานผิดพลาด
แม้ว่ากระบวนการนี้จะมีจุดประสงค์เพื่อเพิ่มความเร็วในการเข้ารหัสสำหรับไฟล์ขนาดใหญ่ แต่เนื่องจากการเข้ารหัสข้อมูลแต่ละส่วนใช้ Memory buffer เดียวกันสำหรับผลลัพธ์ของค่า Nonce ทำให้ค่า Nonce ที่สร้างขึ้นใหม่แต่ละตัวจะไปเขียนทับค่าก่อนหน้าเสมอ
เมื่อประมวลผลข้อมูลทุกส่วนเสร็จสิ้น จะมีเพียงค่า Nonce ตัวสุดท้ายที่ถูกสร้างขึ้นเท่านั้นที่ยังคงค้างอยู่ในหน่วยความจำ และมีเพียงค่านี้เท่านั้นที่ถูกเขียนบันทึกลงในดิสก์
ส่งผลให้ส่วนเดียวของไฟล์ที่สามารถกู้คืนได้คือ 25% สุดท้าย ในขณะที่ข้อมูลสามส่วนก่อนหน้าจะไม่สามารถถอดรหัสได้เลย เนื่องจากค่า Nonce สำหรับส่วนเหล่านั้นได้สูญหายไปแล้ว
ค่า Nonce ที่สูญหายเหล่านั้นไม่ได้ถูกส่งกลับไปยังผู้โจมตีด้วยเช่นกัน ดังนั้น ต่อให้ผู้ควบคุมแรนซัมแวร์ VECT ต้องการจะถอดรหัสไฟล์ให้กับเหยื่อที่ยอมจ่ายค่าไถ่ พวกเขาก็ไม่สามารถทำได้
Check Point ตั้งข้อสังเกตว่า เนื่องจากไฟล์ที่สำคัญขององค์กรส่วนใหญ่ เช่น ดิสก์ของระบบ Virtual (VM disks), ไฟล์ฐานข้อมูล และไฟล์สำรองข้อมูล (Backups) ซึ่งมักจะมีขนาดเกิน 128kb ผลกระทบของ VECT ในฐานะมัลแวร์ Data wiper จึงอาจสร้างความเสียหายอย่างร้ายแรงให้กับระบบส่วนใหญ่ได้
Check Point ระบุว่า "ด้วยเกณฑ์กำหนดขนาดไฟล์ที่เพียง 128 KB ซึ่งเล็กกว่าไฟล์แนบในอีเมล หรือเอกสารสำนักงานทั่วไป สิ่งที่โค้ดของมัลแวร์จัดว่าเป็นไฟล์ขนาดใหญ่จึงไม่ได้ครอบคลุมแค่ VM disks, ฐานข้อมูล และไฟล์สำรองข้อมูลเท่านั้น แต่ยังรวมไปถึงเอกสารการทำงานทั่วไป, Spreadsheets และ Mailboxes ด้วย ในทางปฏิบัติ แทบจะไม่มีไฟล์ใดที่เหยื่อต้องการกู้คืน เพราะไฟล์ส่วนใหญ่มีขนาดใหญ่กว่าเกณฑ์นี้ทั้งหมด"
นักวิจัยพบว่า การทำงานที่ผิดพลาดในการจัดการค่า Nonce ดังกล่าวนี้ มีอยู่ในแรนซัมแวร์ VECT 2.0 ทุกสายพันธุ์ ไม่ว่าจะเป็นบน Windows, Linux และ ESXi ดังนั้น พฤติกรรมการทำลายข้อมูลในลักษณะเดียวกันนี้จึงเกิดขึ้นในทุก ๆ กรณี
ที่มา : bleepingcomputer