🔍 Contexte

Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums.

🧩 Présentation de VECT

VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec :

  • TeamPCP : acteur à l’origine d’attaques supply-chain en mars 2026 (injection de malware dans Trivy, Checkmarx KICS, LiteLLM, Telnyx)
  • BreachForums : tout utilisateur enregistré devient automatiquement affilié

Le site de fuite darknet ne liste que deux victimes, toutes deux issues des attaques supply-chain de TeamPCP.

💥 Faille critique : destruction irréversible des fichiers

Le bug central identifié par CPR est une erreur de gestion des nonces ChaCha20-IETF :

  • Pour les fichiers > 131 072 octets (128 KB), le ransomware divise le fichier en 4 chunks et génère 4 nonces aléatoires de 12 octets
  • Seul le dernier nonce est écrit sur le disque ; les 3 premiers sont écrasés et définitivement perdus
  • Sans ces nonces, les 3 premiers quarts de chaque grand fichier sont irrécupérables, même par l’opérateur après paiement de la rançon
  • Cette faille est identique sur les trois variantes (Windows, Linux, ESXi) et présente depuis la première version observée

⚠️ En pratique, VECT 2.0 fonctionne comme un wiper pour la quasi-totalité des fichiers critiques (VM disks, bases de données, documents, sauvegardes).

🔐 Identification cryptographique incorrecte

Plusieurs rapports publics décrivent à tort VECT comme utilisant ChaCha20-Poly1305 AEAD. CPR confirme que VECT utilise en réalité ChaCha20-IETF brut (RFC 8439) sans authentification via crypto_stream_chacha20_ietf_xor de libsodium. Aucun tag Poly1305 n’est présent dans les fichiers chiffrés.

🛠️ Autres défauts techniques identifiés

  • Modes de chiffrement non implémentés : les flags --fast, --medium, --secure (Linux/ESXi) sont parsés mais jamais appliqués
  • Obfuscation XOR auto-annulante (Linux) : double XOR qui produit du texte en clair
  • Code anti-analyse compilé mais jamais appelé (Windows) : 44 outils détectés mais la détection est inatteignable
  • Scheduler de threads contre-productif : ratio 1:7 scanner/encrypteur, jusqu’à 256 threads, dégradant les performances
  • ASCII art cassé : backslashes non échappés

🖥️ Caractéristiques techniques par plateforme

Propriété Windows Linux ESXi
Format PE64 ELF64 ELF64
Crypto ChaCha20-IETF ChaCha20-IETF ChaCha20-IETF
Extension .vect .vect .vect
Mouvement latéral WMI/DCOM/SMB/SC/PSRemoting SSH/SCP SSH/SCP
Géofencing Non Oui Oui

📌 Type d’article

Il s’agit d’une publication de recherche technique produite par Check Point Research, visant à corriger les erreurs d’attribution cryptographique dans les rapports existants et à documenter les failles structurelles de VECT 2.0 pour la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1485 — Data Destruction (Impact)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1021.006 — Remote Services: Windows Remote Management (Lateral Movement)
  • T1047 — Windows Management Instrumentation (Execution)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Execution)
  • T1490 — Inhibit System Recovery (Impact)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)

IOC

  • Domaines : vectordntlcrlmfkcm4alni734tbcrnd5lk44v6sp4lqal6noqrgnbyd.onionVT · URLhaus · ThreatFox
  • URLs : http://vectordntlcrlmfkcm4alni734tbcrnd5lk44v6sp4lqal6noqrgnbyd.onion/chat/REDACTEDURLhaus
  • SHA256 : a7eadcf81dd6fda0dd6affefaffcb33b1d8f64ddec6e5a1772d028ef2a7da0f2VT · MalwareBazaar
  • SHA256 : 58e17dd61d4d55fa77c7f2dd28dd51875b0ce900c1e43b368b349e65f27d6fddVT · MalwareBazaar
  • SHA256 : e1fc59c7ece6e9a7fb262fc8529e3c4905503a1ca44630f9724b2ccc518d0c06VT · MalwareBazaar
  • SHA256 : 8ee4ec425bc0d8db050d13bbff98f483fff020050d49f40c5055ca2b9f6b1c4dVT · MalwareBazaar
  • SHA256 : 9c745f95a09b37bc0486bf0f92aad4a3d5548a939c086b93d6235d34648e683fVT · MalwareBazaar
  • SHA256 : e512d22d2bd989f35ebaccb63615434870dc0642b0f60e6d4bda0bb89adee27aVT · MalwareBazaar
  • Fichiers : !!!READ_ME!!!.txt
  • Fichiers : dvm3_wall.bmp
  • Chemins : /vmfs/volumes
  • Chemins : /etc/motd
  • Chemins : /etc/issue
  • Chemins : /etc/issue.net
  • Chemins : /etc/profile.d/vector_notice.sh

Malware / Outils

  • VECT (ransomware)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ research.checkpoint.com — source reconnue (liste interne) (20pts)
  • ✅ 37498 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 15 IOCs dont des hashes (15pts)
  • ✅ 4/5 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 19 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : VECT, TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • a7eadcf81dd6fda0… (sha256) → VT (23/76 détections)
  • 58e17dd61d4d55fa… (sha256) → VT (27/76 détections)
  • e1fc59c7ece6e9a7… (sha256) → VT (27/76 détections)
  • vectordntlcrlmfkcm4alni734tbcrnd5lk44v6sp4lqal6noqrgnbyd.onion (domain) → VT (14/91 détections)

🔗 Source originale : https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/