Check Point Research, 28 Nisan 2026’da yayınladığı analizde VECT 2.0 adlı yeni bir “ransomware-as-a-service” girişiminin temel tasarım hatası yüzünden fidye yazılımı gibi değil, pratikte veri silici (wiper) gibi davrandığını ortaya çıkardı. Büyük dosyalar şifrelenmek yerine geri döndürülemez biçimde zarar görüyor; bu da kurbanların fidye ödese bile verilerini kurtaramayacağı anlamına geliyor.
Hata Ne, Etkisi Ne?
VECT 2.0, 128 KB’tan büyük her dosyayı dört parçaya ayırıp her parçayı ayrı bir 12 bayt “nonce” ile şifreliyor. Ancak mantıksal bir programlama hatası nedeniyle yalnızca son parçanın “nonce” değeri dosyanın sonuna yazılıyor; ilk üç parçanın anahtar malzemesi ise çöpe gidiyor. Sonuç olarak dosyanın ilk üç çeyreği hiçbir şekilde çözülemiyor. Bu kusur Windows, Linux ve ESXi sürümlerinde aynı şifreleme motoru kullanıldığı için platformdan bağımsız olarak tekrarlanıyor. Üstelik VECT’in gerçekten kullandığı şema ChaCha20-IETF; bazı raporlarda iddia edilen ChaCha20‑Poly1305 değil.
Bu tablo, “fidye öde ve açtır” modelini anlamsız kılıyor: 128 KB üzerindeki dosyalarda saldırganın bile çalışır bir çözücü sunması imkânsız. O yüzden böyle bir olay VECT 2.0 özelinde fidye vakası değil, veri silme olayı olarak ele alınmalı.
Arka Plan ve Yayılım
RaaS olarak pazarlanan VECT, Aralık 2025’te karanlık ağ forumlarında boy göstermeye başladı. Şubat 2026’da “2.0” sürümüyle Windows, Linux ve ESXi’ye destek verdi. Grup, BreachForums ile yaptığı anlaşma sayesinde geniş bir “ortak” ağı kurdu ve TeamPCP ile ortaklık duyurdu; bu da tedarik zinciri sızıntılarından fidye dağıtımına uzanan bir kanal oluşturdu.
Analizde ayrıca, yazılımda pazarlanan bazı özelliklerin gerçekte çalışmadığı; örneğin “fast/medium/secure” hız seçeneklerinin kodda yorumlandığı ama uygulanmadığı, çeşitli gizleme ve iş parçacığı yönetimi kısımlarının da hatalı olduğu saptandı.
Bazı sektör gözlemcileri, kod tabanındaki bu tutarsızlıkların, projenin ya eski bir kod temeli üzerine kurulduğunu ya da parça parça yapay zekâ araçlarıyla yazıldığını düşündürdüğünü aktarıyor.
Ne yapmalı? Yedekleri çevrim dışı ve düzenli test edilmiş halde tutmak, ayrıcalıkları sıkı kısıtlamak, ağ segmentasyonu ve hızlı olay müdahalesi süreçlerini çalışır durumda tutmak, EDR/antivirüs katmanlarını güncel tutmak bu tür vakalarda kurtarıcı olmaya devam ediyor. Ancak VECT 2.0 özelinde, ödeme yapmanın kurtarma sağlamayacağını akılda tutmak kritik.
Kaynak: www.techspot.com
