Συναγερμός έχει σημάνει στις εταιρείες κυβερνοασφάλειας λόγω μιας νέας εξαιρετικά επικίνδυνης απειλής όπως αποκαλύπτει η Check Point Research. Το κακόβουλο λογισμικό της ομάδας VECT καταστρέφει οριστικά τα μεγάλα αρχεία των επιχειρήσεων αντί να τα κρυπτογραφεί δηλαδή η ανάκτηση των δεδομένων αδύνατη, ακόμη και αν το θύμα πληρώσει τα λύτρα.
Σύμφωνα με νέα έκθεση της Check Point Research (CPR), η ομάδα VECT, η οποία εμφανίστηκε στα τέλη του 2025, χρησιμοποιεί ένα κακόβουλο λογισμικό που λειτουργεί ως εργαλείο οριστικής καταστροφής δεδομένων (wiper) και όχι ως παραδοσιακό ransomware.
Το μήνυμα των ερευνητών προς τις επιχειρήσεις είναι ξεκάθαρο. Μην πληρώσετε τα λύτρα. Δεν υπάρχει decryptor (εργαλείο αποκρυπτογράφησης) και δεν πρόκειται να υπάρξει ποτέ.
Το μοιραίο λάθος στον κώδικα
Το παραδοσιακό επιχειρηματικό μοντέλο του ransomware βασίζεται στην ομηρία: ο επιτιθέμενος κλειδώνει τα αρχεία και επιστρέφει το «κλειδί» μόλις πληρωθεί. Ωστόσο, η VECT σπάει αυτόν τον κανόνα από… λάθος.
Όπως διαπίστωσε η CPR, όταν το λογισμικό της VECT προσπαθεί να κρυπτογραφήσει αρχεία μεγαλύτερα από 131kb —δηλαδή το μεγαλύτερο μέρος των δεδομένων που πραγματικά ενδιαφέρουν μια επιχείρηση— καταστρέφει μόνιμα τις πληροφορίες που απαιτούνται για την αντιστροφή της διαδικασίας. Το ελάττωμα αυτό εντοπίζεται σε όλες τις εκδόσεις (Windows, Linux, VMware ESXi) και πρακτικά αχρηστεύει τα πιο κρίσιμα εταιρικά αρχεία: images εικονικών μηχανών, βάσεις δεδομένων και backups.
«Το VECT διαφημίζεται ως ransomware, όμως λειτουργεί ουσιαστικά ως εργαλείο καταστροφής δεδομένων», εξηγεί ο Eli Smadja, Group Manager στην Check Point Research. «Οι CISOs πρέπει να κατανοήσουν ότι σε ένα περιστατικό VECT, η πληρωμή δεν αποτελεί στρατηγική ανάκτησης. Δεν υπάρχει δυνατότητα δημιουργίας decryptor, όχι επειδή οι επιτιθέμενοι δεν θέλουν να τον παραδώσουν, αλλά επειδή οι πληροφορίες έχουν καταστραφεί. Η έμφαση πρέπει να δοθεί στην ανθεκτικότητα: offline backups και ταχεία απομόνωση του περιστατικού — όχι στη διαπραγμάτευση».
Μια φιλόδοξη, αλλά «ερασιτεχνική» αυτοκρατορία
Παρά τον προβληματικό της κώδικα, η VECT είναι εξαιρετικά επικίνδυνη λόγω του τεράστιου δικτύου που έχει χτίσει. Σε αντίθεση με άλλες ομάδες που επιλέγουν προσεκτικά τους συνεργάτες τους, η VECT άνοιξε τις πόρτες της σε όλους.
Συνεργάστηκε επίσημα με τη διαβόητη αγορά κυβερνοεγκλήματος BreachForums, δίνοντας πρόσβαση στην πλατφόρμα της σε χιλιάδες εγγεγραμμένα μέλη. Παράλληλα, συμμάχησε με την TeamPCP, την ομάδα πίσω από τις πρόσφατες επιθέσεις εφοδιαστικής αλυσίδας (supply-chain attacks) σε δημοφιλή developer tools (όπως τα Trivy και LiteLLM), με στόχο να μολύνουν εταιρείες που είχαν ήδη εκτεθεί.
Ωστόσο, πίσω από την επαγγελματική «βιτρίνα» κρύβεται τεράστια απειρία. Σύμφωνα με την CPR, τα διαφημιζόμενα χαρακτηριστικά του λογισμικού (όπως οι ρυθμίσεις ταχύτητας κρυπτογράφησης και η προστασία anti-analysis) απλώς δεν λειτουργούν. Οι ερευνητές εκτιμούν ότι πρόκειται για έργο νεοεισερχόμενων χάκερς, ενώ δεν αποκλείουν το ενδεχόμενο μέρος του κώδικα να έχει παραχθεί με τη βοήθεια Τεχνητής Νοημοσύνης (AI).
Μάλιστα, μια ασυνήθιστη ρύθμιση geofencing, η οποία αποτρέπει επιθέσεις σε στόχους στην Ουκρανία, υποδηλώνει ότι οι δημιουργοί ίσως βασίστηκαν σε κώδικα ransomware που είχε διαρρεύσει πριν από τον πόλεμο του 2022.
Τι πρέπει να κάνουν οι επιχειρήσεις
Η λύση απέναντι στη VECT, σύμφωνα με τους ειδικούς, είναι η πρόληψη και τα αυστηρά πρωτόκολλα ασφαλείας. Οι οργανισμοί που εκτέθηκαν στις πρόσφατες επιθέσεις της TeamPCP πρέπει να προχωρήσουν άμεσα σε αλλαγή διαπιστευτηρίων (credential rotation). Σε περίπτωση μόλυνσης, η μόνη οδός είναι η ανάκτηση από καθαρά offline backups και η άμεση εμπλοκή της ομάδας incident response, αποκλείοντας κάθε σκέψη για επικοινωνία με τους εκβιαστές.
