VECT 2.0 Ransomware Hancurkan File Lebih dari 131KB Secara Permanen di Windows, Linux, ESXi

Operasi ransomware VECT 2.0 baru-baru ini terungkap memiliki cacat teknis fatal yang menyebabkan file berukuran lebih dari 131KB di sistem Windows, Linux, dan ESXi terhapus secara permanen dan tidak dapat dipulihkan. Akibatnya, meskipun korban membayar tebusan, data mereka tetap hilang karena kunci dekripsi tidak pernah tersimpan atau dikirimkan oleh malware.

Kesalahan Fatal pada Enkripsi VECT 2.0

Menurut analisis Check Point Research, VECT 2.0 menggunakan implementasi enkripsi yang cacat pada semua variannya. Malware ini mengenkripsi file besar dengan membagi file menjadi empat bagian dan mengenkripsi masing-masing dengan nonce (angka sekali pakai) yang berbeda. Namun, hanya nonce terakhir yang disimpan, sementara tiga nonce pertama penting untuk dekripsi diabaikan dan hilang.

"VECT dipasarkan sebagai ransomware, tapi untuk file lebih dari 131KB – yang merupakan sebagian besar file penting di perusahaan – malware ini sebenarnya berfungsi sebagai alat penghancur data," kata Eli Smadja, manajer grup di Check Point Research.

Akibatnya, tiga perempat file besar tersebut tidak dapat didekripsi oleh siapa pun, termasuk pelaku ransomware sekalipun. Ini berarti pembayaran tebusan tidak akan pernah mengembalikan data yang hilang.

Model Bisnis dan Operasi VECT 2.0

VECT 2.0 diluncurkan pada Desember 2025 sebagai ransomware-as-a-service (RaaS), di mana para afiliasi dapat bergabung dengan membayar biaya masuk sebesar $250 dalam mata uang Monero (XMR), kecuali bagi pelaku dari negara-negara CIS yang dibebaskan dari biaya tersebut. Hal ini menunjukkan fokus perekrutan pelaku dari wilayah CIS.

Kelompok ini memajang pesan "Exfiltration / Encryption / Extortion" di situs gelap mereka, menandakan model bisnis tiga ancaman: pencurian data, enkripsi file, dan pemerasan. Mereka juga membangun kemitraan dengan pasar siber BreachForums dan kelompok peretas TeamPCP untuk memperkuat jaringan serangan mereka dengan memanfaatkan data curian sebelumnya.

Fitur dan Taktik Malware

• Versi Windows mengenkripsi file di penyimpanan lokal, removable, dan jaringan, serta memiliki fitur anti-analisis canggih yang menargetkan 44 alat keamanan dan debugging.
• Memiliki mekanisme persistence untuk boot ke Safe Mode Windows dan menjalankan malware secara otomatis.
• Variasi ESXi melakukan geofencing dengan memeriksa lokasi negara dan menghentikan enkripsi jika mendeteksi wilayah CIS, serta mencoba penyebaran lateral lewat SSH.
• Versi Linux menggunakan basis kode yang sama dengan ESXi dengan fitur subset.

Menariknya, VECT 2.0 menyertakan negara Ukraina sebagai bagian dari pengecualian geofencing CIS, sebuah hal yang tidak biasa dalam ransomware modern pasca-invasi Rusia pada 2022. Analisis Check Point menduga kode tersebut mungkin dibuat menggunakan AI atau merupakan basis kode lama.

Implikasi Serangan VECT 2.0 bagi Korban

Menurut para pakar keamanan, ransomware ini tidak hanya menipu korban dengan penawaran dekripsi palsu, tetapi juga menggambarkan tantangan baru dalam penanganan insiden keamanan siber:

1. Korban tidak bisa berharap untuk mendapat kembali data setelah membayar tebusan.
2. Strategi pemulihan harus fokus pada cadangan data offline dan prosedur pemulihan yang sudah diuji.
3. Penanganan insiden harus mengedepankan containment cepat dan mitigasi risiko, bukan negosiasi dengan pelaku.

Analisis Redaksi

Menurut pandangan redaksi, VECT 2.0 menunjukkan bahwa tidak semua ransomware adalah sama. Dengan kerusakan data yang bersifat permanen untuk file penting, VECT mengaburkan batas antara ransomware dan wiper, yang membuatnya menjadi ancaman yang jauh lebih serius bagi perusahaan dan organisasi. Ketergantungan pada pembayaran tebusan sebagai solusi sangat berisiko dan bisa sia-sia.

Keberadaan cacat teknis ini juga mengindikasikan bahwa pelaku VECT 2.0 mungkin tergolong novice yang menggunakan kode hasil AI atau skrip lama, bukan aktor terampil profesional. Namun, kemitraan dengan kelompok seperti TeamPCP dan pasar BreachForums menandai tren industrialisasi ransomware dengan distribusi melalui rantai pasokan yang semakin kompleks.

Ke depan, penting bagi organisasi untuk meningkatkan kesiapan menghadapi serangan berbasis ransomware dengan memperkuat kebijakan backup offline, monitoring rantai pasokan, dan penguatan sistem deteksi dini. Perkembangan VECT 2.0 bisa menjadi warning sign bagi semua pihak agar tidak menganggap enteng risiko ransomware yang semakin canggih dan beragam taktiknya.

Untuk informasi lebih lanjut dan update terkini seputar ancaman siber, ikuti sumber terpercaya dan terus tingkatkan kesadaran keamanan siber di lingkungan Anda.