Vect 2.0: Fatale Programmierfehler machen Ransomware zum Datenkiller

0 entdeckt. Die Analyse von Check Point Research und ThreatLocker zeigt: Ein grundlegender Fehler in der Verschlüsselungslogik macht die Datenwiederherstellung unmöglich – selbst wenn die Opfer Lösegeld zahlen. Die Gruppe, die Ende 2025 erstmals auftauchte, hat ihr Operationsgebiet inzwischen auf Windows, Linux und VMware ESXi ausgeweitet und kooperiert mit anderen Cyberkriminellen für Lieferketten-Angriffe.

Ransomware-Angriffe wie Vect 2.0 zeigen, dass technische Fehler in der Malware oft zu permanentem Datenverlust führen. Schützen Sie Ihr Unternehmen proaktiv vor modernen Bedrohungen und neuen gesetzlichen Anforderungen mit diesem kostenlosen Experten-Ratgeber. Gratis E-Book: Cyber Security Trends 2024 jetzt herunterladen

Programmier-Panne statt böse Absicht

Der Wandel von Vect 2.0 von klassischer Erpressungssoftware zu einem zerstörerischen Datenlöscher ist kein strategischer Schachzug, sondern das Ergebnis handwerklicher Unfähigkeit. Die Implementierung des ChaCha20-IETF-Verschlüsselungsalgorithmus ist fatal fehlerhaft. Konkret: Bei der Verschlüsselung werden drei von vier kryptografischen Nonces verworfen oder überschrieben – was zur permanenten Datenkorruption führt.

Besonders betroffen sind Dateien größer als 128 Kilobyte (je nach Variante 131 KB). Für diese Dateien existiert schlicht kein Entschlüsselungsschlüssel – und die Angreifer können keinen generieren. Die Malware verwendet zudem den unsicheren ChaCha20-IETF-Standard ohne Integritätsschutz, statt des robusteren ChaCha20-Poly1305. Hinzu kommen weitere Programmier-Pannen: String-Verschleierungen, die sich gegenseitig aufheben, und Anti-Analyse-Code, der im Ausführungspfad nie erreicht wird.

Die Konsequenz für Unternehmen ist brutal: Lösegeldzahlungen sind sinnlos. Da die Angreifer selbst keine Wiederherstellungsmöglichkeit haben, führen Monero-Zahlungen in den totalen Verlust. Besonders betroffen sind die Branchen Fertigung, Bildung, Gesundheitswesen und Technologie – die Hauptziele der aktuellen Kampagnen.

RaaS-Geschäftsmodell trotz technischer Mängel

Trotz der technischen Defizite betreibt Vect 2.0 ein ausgeklügeltes Geschäftsmodell. Die Gruppe arbeitet nach dem Ransomware-as-a-Service-Prinzip und bietet Partnern ein umfassendes Dashboard mit Malware-Baukasten, Support-Ticket-System und integrierten Chat-Funktionen. Die Provisionsspanne liegt zwischen 80 und 89 Prozent der erpressten Summen. Die übliche Aufnahmegebühr von 250 Dollar wird für Akteure aus der Gemeinschaft Unabhängiger Staaten (GUS) erlassen.

Das Wachstum der Gruppe wird durch eine Partnerschaft mit der kriminellen Organisation TeamPCP befeuert. Diese Allianz konzentriert sich auf Lieferketten-Angriffe, die weit verbreitete Entwicklungs- und Sicherheitswerkzeuge wie Trivy, LiteLLM, KICS und Telnyx ins Visier nehmen. Durch die Kompromittierung dieser Komponenten erhalten die Angreifer Zugang zu verschiedensten Unternehmensumgebungen, bevor sie die Vect-2.0-Malware ausrollen.

Seit Jahresbeginn 2026 hat die Gruppe mindestens 25 Opfer gemeldet. Ende Februar verzeichnete die Gruppe auf ihrer Leak-Seite rund 20 aktive Opfer – etwa 1,6 Prozent aller registrierten Ransomware-Vorfälle jenes Monats. Geografisch erstrecken sich die Angriffe über die USA, Brasilien, Indien und mehrere europäische Länder. Die Taktik der Gruppe folgt einem Dreiklang aus Datendiebstahl, Verschlüsselung und Erpressung – wobei die Verschlüsselungsphase faktisch als permanente Zerstörung fungiert.

Plattformübergreifende Angriffstaktiken

Vect 2.0 zeichnet sich durch seine Fähigkeit aus, verschiedene Unternehmensumgebungen zu attackieren. Unter Windows erzwingt die Malware einen Neustart im abgesicherten Modus, um Sicherheitssoftware zu umgehen, und versucht, Windows Defender per PowerShell-Befehle zu deaktivieren. Auf Linux-Systemen löscht sie Systemprotokolle, um forensische Untersuchungen zu erschweren. In virtualisierten Umgebungen stoppt die ESXi-Variante Hypervisor-Überwachungsprozesse und beendet virtuelle Maschinen, um Dateisperren vor der Verschlüsselung aufzuheben.

Sicherheitsteams überwachen nun spezifische Indikatoren: Ausführbare Dateien wie „svchostupdate.exe“ für Windows und „encesxi.elf“ für ESXi-Umgebungen. Forensische Analysen haben zudem eine IP-Adresse mit der Endung 210.11 auf Port 8000 für die Kommando-und-Kontroll-Kommunikation identifiziert.

Parallel zur Vect-Bedrohung hat sich die Sicherheitslandschaft Ende April 2026 durch eine Welle kritischer Schwachstellen verschärft. Das US-Heimatschutzministerium CISA hat zwei neue Schwachstellen in seinen Katalog bekannter Exploits aufgenommen: einen Path-Traversal-Fehler in ConnectWise ScreenConnect (CVE-2024-1708) und eine Windows-Shell-Zero-Day-Lücke (CVE-2026-32202). Letztere ermöglicht einen Zero-Click-NTLM-Hash-Diebstahl über LNK-Dateien und wurde Berichten zufolge ab Ende 2025 von der russlandnahen Gruppe APT28 ausgenutzt.

Branchenreaktion und Ausblick

Die Entdeckung „kaputter“ Ransomware, die als Datenlöscher fungiert, kommt zu einer Zeit, in der die Branche mit der rasanten Beschleunigung von Cyberbedrohungen kämpft. Am 29. April 2026 kündigte CrowdStrike den Start von Project QuiltWorks an – eine neue Koalition mit Accenture, EY, IBM, Kroll und OpenAI. Diese Initiative soll die wachsende Zahl von Schwachstellen adressieren, die durch Künstliche Intelligenz entdeckt werden. Experten von Check Point und Flashpoint warnen, dass die Zeit zwischen der Entdeckung einer Sicherheitslücke und ihrer aktiven Ausnutzung immer kürzer wird.

Angesichts der rasanten Entwicklung von KI-basierten Angriffen müssen Unternehmen auch rechtlich aufrüsten. Erfahren Sie in diesem kostenlosen Leitfaden, welche konkreten Anforderungen und Fristen der neue EU AI Act für Ihre IT-Sicherheit bereithält. Kostenloses E-Book zur EU-KI-Verordnung sichern

Der Vect-2.0-Fall verdeutlicht einen wachsenden Trend zu „KI-Angriffsfabriken“ und das Potenzial schlecht programmierter Malware, unverhältnismäßigen Schaden anzurichten. Während Gruppen wie Vect 2.0 möglicherweise nicht über die kryptografische Expertise etablierterer Ransomware-Syndikate verfügen, ermöglicht ihnen die Partnerschaft mit lieferkettenorientierten Gruppen wie TeamPCP das Eindringen in bedeutende Ziele.

Verteidigungsstrategien für Unternehmen

Da eine Datenwiederherstellung nach einer Vect-2.0-Infektion technisch unmöglich ist, empfehlen Sicherheitsexperten einen präventiven Ansatz: Offline-Backups und die 3-2-1-Backup-Regel priorisieren. Zu den defensiven Maßnahmen gehören die Blockierung ausgehenden SMB-Datenverkehrs zur Verhinderung von NTLM-Credential-Theft sowie die Härtung von Remote-Monitoring-und-Management-Tools (RMM) wie ScreenConnect, die sich als häufige Vektoren für laterale Bewegungen erwiesen haben.

In den kommenden Monaten erwartet die Branche eine anhaltende Fokussierung auf die Sicherheit der Software-Lieferkette. Die Anhörung des House Homeland Security Committee durch OpenAI und Anthropic am 28. April 2026 zu KI-Cyberbedrohungen unterstreicht die hohe Besorgnis auf politischer Ebene. Fürs Erste bleibt die wichtigste Verteidigung gegen Gruppen wie Vect 2.0 rigoroses Patch-Management, Netzwerksegmentierung für ESXi-Umgebungen und die Annahme, dass jeder erfolgreiche Einbruch dieser spezifischen Gruppe zu permanentem Datenverlust führt – unabhängig von der Zahlungsbereitschaft des Opfers.

de | wissenschaft | 69260846 |