La campagne connue sous le nom de VECT 2.0 oblige les organisations à repenser ce qu'elles entendent par "ransomware" : loin d'être un outil de chiffrement et d'extorsion, une erreur de conception technique agit dans trop de cas comme un projets de données irréversibles. Des enquêtes sur des médias spécialisés et des firmes de sécurité ont montré que les variantes pour Windows, Linux et ESXi divisent les grands fichiers en fragments chiffrés avec ChaCha20-IETF, mais ne stockent que le nonce correspondant au dernier fragment, rejetant les trois nonces nécessaires pour reconstruire la plupart du contenu. Le seuil critique est de 131 072 octets; tout fichier de plus grande taille est, dans la pratique, irrécupérable même si demandé et payé.
Cette défaillance technique rend VECT 2.0 Camouflage de fouet de Ransomware:: Le cas échéant; Ce n'est pas une question de criminels qui refusent de retourner les clés, mais de ne pas avoir les informations nécessaires pour construire un déchiffrement fonctionnel. La conséquence directe pour les victimes est brutalement simple: payer ne garantit pas la récupération. Les recommandations de négociation habituelles deviennent inefficaces; la stratégie doit se diriger vers le confinement, la récupération de copies fiables et la conservation légale des preuves.
D'autre part, VECT 2.0 est également une expérience dans l'industrialisation de la criminalité numérique. Il est lancé sous le nom de RaaS avec un programme d'affiliation (avec un droit d'entrée déclaré à Monero), des exemptions pour les demandeurs de certaines régions, et des accords avec des forums et des groupes de filtration pour faciliter l'accès aux titres volés et réduire la barrière technique de l'attaque. Cette combinaison - accès aux données exfiltrées + panneau de contrôle + filiales - est la recette pour augmenter le volume et la vitesse des incidents, et augmente la probabilité d'incidents ciblant les chaînes d'approvisionnement et les réseaux critiques.
En plus de la question cryptographique, les variantes montrent des caractéristiques inquiétantes qui facilitent la diffusion et évitent l'analyse : persistance en mode sûr sur Windows, modèles d'exécution à distance et mouvements latéraux SSH sur ESXi / Linux, et geofencing qui empêche d'infecter certaines juridictions. Fait intéressant, la liste des exclusions inclut les pays que d'autres familles Ransomware essaient d'éviter, ce qui a conduit les chercheurs à spéculer sur le code réutilisé, la génération assistée par l'IA ou des erreurs simples dans la logique géographique.
Que devraient faire les agents de sécurité aujourd'hui? La première chose est de supposer que, face à une infection avec cette famille, ne peut pas être fiable dans le paiement pour récupérer des données. Il est impératif d'activer des plans d'intervention qui priorisent le confinement des impacts : isoler les systèmes touchés, préserver les images médico-légales des disques et des journaux, et procéder à une restauration à partir de sauvegarde hors ligne ou immobile (WORM / immuable) qui ont été testées lors d'exercices précédents. Les copies en nuage devraient être combinées avec des contrôles d'intégrité et des versions pour empêcher les logiciels malveillants de chiffrer ou de corrompre.
En parallèle, l'équipement devrait examiner les contrôles techniques qui limitent le risque de propagation : segmentation du réseau, privilège minimum dans les comptes administratifs, désactivation des services inutiles exposés (p. ex. SMB ou SSH sans gestion), application généralisée du MFA et détection précoce avec EDR / SIEM qui alerte sur les modifications massives de fichiers, les changements dans la politique de démarrage ou les écritures anormales dans VSS et les sauvegardes. La rotation et la médiation des lettres de créances engagées et l'examen des fournisseurs tiers et l'accès après une éventuelle campagne de la chaîne d'approvisionnement ne sont pas moins importants.
En matière de gouvernance, les organisations doivent documenter les décisions et les communications : aviser les organismes de réglementation et les personnes touchées si la politique l'exige, coordonner avec les forces de sécurité et partager les indicateurs avec la communauté d'intervention (STI). Il est également temps d'investir dans la résilience : des politiques de sauvegarde hors ligne, des tests de récupération réguliers, une cyberassurance claire sur les exclusions et des évaluations des risques qui envisagent des scénarios d'effacement de masse irréparables.
Enfin, l'émergence de VECT 2.0 met en évidence deux risques stratégiques : la démocratisation de la cybercriminalité par RaaS et Markplaces, et la possibilité d'erreurs techniques ou de code générés par l'IA qui transforment les outils en armes de destruction accidentelle. Les organisations doivent s'attaquer à la fois au renforcement des contrôles techniques et à l'adoption d'une position proactive en matière de renseignement sur les menaces et la sécurité de la chaîne d'approvisionnement pour réduire la surface de l'attaque. Afin d'élargir l'information technique et les alertes publiques, on peut consulter les enquêtes et les communiqués des laboratoires spécialisés de sécurité et de presse, tels que les ressources de Check Point Research et les médias tels que The Hacker News, ainsi que les publications d'agences sectorielles telles que le Data Security Council of India et l'analyse du renseignement de marché. Recherche au point de contrôle, Les nouvelles Hacker et Conseil de sécurité des données de l ' Inde.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...