江蘇
關(guān)鍵詞
勒索軟件
研究人員警告稱,VECT 2.0 勒索軟件在處理加密非ces(nonces)時存在一個問題,導(dǎo)致其永久銷毀大文件而非對其進(jìn)行加密。
VECT 已在最新的 BreachForums 迭代版本之一上進(jìn)行宣傳,邀請注冊用戶成為合作伙伴,并通過私信向感興趣的用戶分發(fā)訪問密鑰。
在某個時間點(diǎn),VECT 運(yùn)營者宣布與 TeamPCP 威脅組織建立合作關(guān)系。該組織負(fù)責(zé)近期影響 Trivy、LiteLLM 和 Telnyx 的供應(yīng)鏈攻擊,以及對歐盟委員會的攻擊。
在公告中,VECT 運(yùn)營者表示,他們的目標(biāo)是利用那些供應(yīng)鏈妥協(xié)事件的受害者,在其環(huán)境中部署勒索軟件載荷,并對其他組織開展更大規(guī)模的供應(yīng)鏈攻擊。
有缺陷的勒索軟件
雖然這一設(shè)計本意是為了提高大文件的加密速度,但由于所有分塊加密都使用相同的內(nèi)存緩沖區(qū)來輸出 nonce,每個新生成的 nonce 都會覆蓋前一個。
一旦所有分塊處理完畢,內(nèi)存中僅保留最后一個生成的 nonce,并且只有這一個被寫入磁盤。
因此,文件中唯一可恢復(fù)的部分是最后 25%,而之前的三個部分由于 nonce 丟失而無法解密。
這些丟失的 nonce 也不會傳輸給攻擊者,所以即使 VECT 運(yùn)營者想為支付贖金的受害者解密文件,他們也做不到。
Check Point 指出,由于大多數(shù)有價值的企業(yè)文件(包括虛擬機(jī)磁盤、數(shù)據(jù)庫文件和備份)都超過 128KB,VECT 作為數(shù)據(jù)擦除器的影響在大多數(shù)環(huán)境中可能是災(zāi)難性的。
Check Point 表示:“閾值僅為 128 KB,小于典型的電子郵件附件或辦公文檔。代碼所分類的大文件不僅包括虛擬機(jī)磁盤、數(shù)據(jù)庫和備份,還包括常規(guī)文檔、電子表格和郵箱。實(shí)際上,受害者想要恢復(fù)的幾乎所有內(nèi)容都超過了這個邊界。”
研究人員發(fā)現(xiàn),相同的 nonce 處理缺陷存在于 VECT 2.0 勒索軟件的所有變體中,包括 Windows、Linux 和 ESXi 版本,因此在所有情況下都會出現(xiàn)相同的數(shù)據(jù)擦除行為。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時資訊一手掌握!
好看你就分享 有用就點(diǎn)個贊
支持「安全圈」就點(diǎn)個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
