freshidea - stock.adobe.com
VECT 2.0 : Ransomware ou Wiper ?
Les chercheurs de Check Point ont découvert un défaut cryptographique dans l'outil de chiffrement de Vect, interdisant le déchiffrement des fichiers touchés dépassant une certaine taille.
Le malware VECT 2.0, bien que se présentant comme un programme de ransomware sophistiqué, recèle une faille fondamentale dans son moteur cryptographique. Cette imperfection technique dégrade sa fonction de chiffrement pour en faire, dans la pratique, un outil de destruction de données (un wiper) touchant les actifs numériques essentiels. Pour les responsables informatiques, cette distinction est cruciale car elle invalide l'option de récupération basée sur le paiement d'une rançon.
L'absence d'intégrité et la destruction des nonces
L'analyse du code de VECT 2.0 par Check Point révèle une erreur d'implémentation critique concernant la gestion des nonces lors du traitement des fichiers de grande taille. Contrairement aux rapports initiaux qui suggéraient l'utilisation d'un chiffrement authentifié (ChaCha20-Poly1305 AEAD), il est confirmé que VECT utilise le chiffrement brut ChaCha20-IETF sans aucune protection d'intégrité.
Le mécanisme de destruction est déclenché pour tout fichier dépassant un seuil très bas : 131 072 octets. Pour ces fichiers volumineux, le malware divise le contenu en quatre blocs. Il génère un nonce aléatoire unique pour chaque bloc, mais ne conserve et n'enregistre sur le disque que le nonce du dernier bloc. Les trois nonces précédents, nécessaires au déchiffrement des trois premiers quarts du fichier, sont générés puis immédiatement écrasés dans un tampon partagé et jamais stockés.
L'irréversibilité des pertes malgré le paiement
L'impact opérationnel de cette défaillance est l'irréversibilité des pertes pour la majorité des données d'entreprise. Étant donné que les actifs critiques — disques de machines virtuelles, bases de données ou sauvegardes — dépassent systématiquement ce seuil de 128 Ko, le maliciel ne chiffre pas ces données ; il les détruit de manière permanente, souligne Check Point.
Cette réalité technique rend la rançon inopérante. Les victimes ne peuvent pas obtenir un outil de déchiffrement fonctionnel pour leurs fichiers les plus importants, non par malveillance de l'attaquant, mais parce que les informations cryptographiques nécessaires ont été irrémédiablement perdues au moment de l'exécution. Le prétendu rançongiciel fonctionne donc, en substance, comme un destructeur de données déguisé. De quoi rappeler Sicarii, notamment. Face à de telles menaces, les sauvegardes constituent plus que jamais l'ultime bastion.
Les opérateurs de Vect ont récemment annoncé un partenariat avec TeamPCP, misant sur les identifiants dérobés par ces derniers pour lancer des cyberattaques.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Trivy, KICS, LiteLLM : TeamPCP souligne les failles de la chaîne logistique logicielle
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : une vulnérabilité inédite exploitée 36 jours avant d’être rendue publique
Par: Valéry Rieß-Marchive
-
![]()
Cyberattaque contre Stryker : que sait-on de Handala ?
Par: Valéry Rieß-Marchive
-
![]()
Stockage : 8 outils pour effacer les données en toute sécurité
Par: Brien Posey
