VECT 2.0 Serang Windows dan Linux, File Tak Bisa Kembali

Dunia keamanan siber kembali dikejutkan dengan munculnya ancaman baru bernama VECT 2.0. Malware yang dipasarkan sebagai ransomware ini ternyata memiliki karakteristik yang jauh lebih berbahaya dibanding ransomware pada umumnya. Alih-alih hanya mengenkripsi data dan meminta tebusan, VECT 2.0 justru dapat menghancurkan file korban secara permanen sehingga tidak bisa dipulihkan lagi, bahkan oleh pelaku serangan itu sendiri.

Temuan mengejutkan ini diungkap oleh para peneliti dari Check Point Research setelah menganalisis varian VECT 2.0 yang menyerang sistem Windows, Linux, dan VMware ESXi. Mereka menemukan adanya cacat serius pada mekanisme enkripsi malware tersebut yang menyebabkan sebagian besar file penting perusahaan berubah menjadi rusak total.

Peneliti keamanan Eli Smadja menjelaskan bahwa VECT 2.0 sebenarnya lebih tepat disebut sebagai “wiper” atau penghancur data dibanding ransomware. Hal itu karena malware ini gagal menjalankan proses enkripsi secara benar pada file berukuran besar.

“VECT dipasarkan sebagai ransomware, tetapi untuk file di atas 131 KB — ukuran yang umumnya berisi data penting perusahaan — malware ini pada praktiknya justru menjadi alat penghancur data,” ujar Smadja.

Situasi ini membuat korban berada dalam posisi yang sangat merugikan. Dalam serangan ransomware biasa, korban setidaknya masih memiliki harapan memulihkan data dengan membayar uang tebusan kepada pelaku. Namun pada kasus VECT 2.0, pembayaran tebusan pun tidak memberikan jaminan apa pun karena data yang rusak sudah tidak dapat dipulihkan lagi.

Menurut Check Point, masalah utama terletak pada cara malware mengenkripsi file besar. VECT 2.0 membagi file menjadi empat bagian lalu mengenkripsi setiap bagian menggunakan kode acak atau nonce yang berbeda. Namun malware hanya menyimpan nonce terakhir, sementara tiga nonce lainnya langsung dibuang setelah proses enkripsi selesai.

Padahal, algoritma ChaCha20-IETF yang digunakan malware membutuhkan pasangan kunci dan nonce yang tepat untuk membuka kembali file terenkripsi. Karena tiga nonce pertama hilang permanen, maka sebagian besar isi file tidak akan pernah bisa dikembalikan.

Akibatnya, file berukuran lebih dari 131.072 byte atau sekitar 131 KB praktis hancur total. Ukuran tersebut tergolong kecil untuk standar file perusahaan modern, sehingga sebagian besar dokumen penting, database, arsip, hingga file virtualisasi dipastikan terdampak.

Peneliti menegaskan bahwa bahkan operator ransomware pun tidak memiliki kemampuan untuk memulihkan file korban. Dengan kata lain, VECT 2.0 menghancurkan peluang negosiasi yang selama ini menjadi bagian utama dalam model bisnis ransomware.

Karena itu, para ahli keamanan mengingatkan perusahaan agar tidak mengandalkan pembayaran tebusan sebagai strategi pemulihan data. Sebaliknya, organisasi diminta memperkuat sistem cadangan data offline, menguji prosedur pemulihan secara berkala, serta mempercepat respons ketika terjadi insiden keamanan.

Di balik kelemahan fatal tersebut, VECT 2.0 ternyata dibangun dengan model operasi yang cukup modern. Malware ini menggunakan skema ransomware-as-a-service (RaaS), yaitu layanan ransomware yang dapat digunakan oleh afiliasi atau pelaku lain untuk melancarkan serangan.

Program afiliasi VECT pertama kali dibuka pada Desember 2025. Di situs gelap mereka, grup tersebut mengusung slogan “Exfiltration / Encryption / Extortion” yang menggambarkan tiga tahap utama operasi mereka: mencuri data, mengenkripsi sistem, lalu memeras korban.

Laporan Data Security Council of India (DSCI) menyebutkan bahwa calon afiliasi baru diwajibkan membayar biaya masuk sebesar 250 dolar AS menggunakan mata uang kripto Monero (XMR). Menariknya, biaya tersebut dibebaskan bagi pendaftar dari negara-negara Commonwealth of Independent States (CIS), yang terdiri dari sejumlah negara bekas Uni Soviet.

Dalam beberapa waktu terakhir, VECT juga diketahui menjalin kerja sama dengan forum kriminal BreachForums dan kelompok peretas TeamPCP. Kolaborasi tersebut diyakini bertujuan memperluas distribusi serangan dengan memanfaatkan data hasil pencurian rantai pasokan atau supply chain attack.

Perusahaan intelijen keamanan Dataminr bahkan menyebut kombinasi pencurian kredensial skala besar, forum dark web, dan layanan ransomware seperti VECT sebagai model baru “industri ransomware” yang semakin terorganisasi.

Meski demikian, hingga kini situs kebocoran data milik VECT baru mencantumkan dua korban. Keduanya disebut diretas melalui serangan rantai pasokan yang melibatkan TeamPCP.

Selain memiliki masalah fatal dalam enkripsi, VECT 2.0 juga dibekali berbagai fitur yang umum ditemukan pada malware modern. Versi Windows, misalnya, mampu menyerang penyimpanan lokal, perangkat eksternal, hingga jaringan perusahaan.

Malware tersebut juga memiliki kemampuan anti-analisis yang menargetkan puluhan alat keamanan dan debugging. Bahkan terdapat mekanisme khusus agar malware tetap aktif ketika sistem dijalankan dalam Windows Safe Mode.

Saat fitur “--force-safemode ” diaktifkan, malware akan memaksa komputer masuk ke Safe Mode pada proses boot berikutnya. Setelah itu, malware menambahkan dirinya ke Windows Registry agar otomatis aktif kembali ketika Safe Mode berjalan.

Di sisi lain, varian ESXi memiliki kemampuan tambahan berupa geofencing dan anti-debugging sebelum memulai proses enkripsi. Malware juga mencoba menyebar ke server lain melalui koneksi SSH.

Sementara itu, versi Linux menggunakan basis kode yang sama dengan ESXi, meski fiturnya tidak selengkap versi server virtualisasi tersebut.

Salah satu hal yang cukup menarik perhatian peneliti adalah fitur geofencing milik VECT. Malware ini akan memeriksa lokasi sistem korban dan otomatis berhenti apabila dijalankan di negara-negara CIS.

Perilaku tersebut tergolong tidak biasa dalam lanskap ransomware modern. Banyak grup ransomware sebelumnya telah menghapus Ukraina dari daftar pengecualian setelah invasi Rusia pada 2022. Namun VECT justru masih memasukkan Ukraina ke dalam daftar negara yang tidak akan diserang.

Check Point menduga ada dua kemungkinan di balik hal tersebut. Pertama, sebagian kode malware mungkin dibuat menggunakan bantuan kecerdasan buatan (AI) yang dilatih menggunakan data lama. Kedua, pengembang VECT kemungkinan memakai basis kode ransomware lawas.

Peneliti juga menilai operator VECT bukanlah kelompok peretas yang sangat berpengalaman. Meskipun tampil profesional dengan dukungan multi-platform, panel operator modern, serta program afiliasi aktif, implementasi teknis malware ini dinilai jauh dari sempurna.

Namun demikian, kelemahan tersebut justru membuat VECT 2.0 menjadi ancaman yang lebih berbahaya. Bukan karena kemampuan enkripsinya yang hebat, melainkan karena malware ini dapat menghancurkan data korban secara permanen tanpa kemungkinan pemulihan.

Bagi perusahaan dan organisasi, kemunculan VECT 2.0 menjadi pengingat penting bahwa ancaman siber modern kini tidak hanya berfokus pada pemerasan, tetapi juga berpotensi menyebabkan kehilangan data permanen yang dapat melumpuhkan operasional bisnis dalam waktu singkat.