Thought Leadership
Die VECT-Ransomware zerstört Dateien über 128 KB dauerhaft. Wer zahlt, verliert Geld und Daten. Eine Rettung ist technisch unmöglich.
Sicherheitsforscher von Check Point Research (CPR) haben eine kritische Analyse der Ende 2025 aufgetauchten VECT-Ransomware veröffentlicht. Die Ergebnisse der Untersuchung sind für betroffene Unternehmen gleichermaßen alarmierend wie aufschlussreich: Die Schadsoftware ist aufgrund eines fundamentalen Programmierfehlers nicht in der Lage, verschlüsselte Dateien wiederherzustellen. Experten stufen das Programm daher nicht als Ransomware, sondern als zerstörerischen Wiper ein.
Kritischer Fehler vernichtet Entschlüsselungscodes während des Angriffs
Die technische Analyse der Version VECT 2.0 zeigt, dass die Software bei Dateien, die größer als 128 Kilobyte (131.072 Bytes) sind, einen fatalen Fehler begeht. Das Programm teilt solche Dateien in vier Segmente auf und generiert für jedes Teilstück einen eigenen kryptografischen Schlüssel (Nonce). Das Problem liegt in der Speicherung dieser Schlüssel: Die Software überschreibt die ersten drei Nonces fortlaufend im Arbeitsspeicher und speichert am Ende nur den vierten und letzten Code auf der Festplatte des Opfers ab.
Ohne die ersten drei Schlüssel ist eine mathematische Umkehrung der Verschlüsselung für 75 Prozent der betroffenen Datei unmöglich. In ihrem Bericht kommen die Forscher zu einem eindeutigen Schluss: „Eine vollständige Wiederherstellung ist für niemanden möglich, auch nicht für den Angreifer.“ Da nahezu alle unternehmenskritischen Daten wie Datenbanken, virtuelle Festplatten (VM-Disks) oder Backups weit über der 128-KB-Grenze liegen, führt eine Infektion zum unwiederbringlichen Datenverlust.
Amateurhafte Umsetzung trotz professioneller Vermarktung im Darknet
Obwohl die Gruppe hinter VECT mit einer professionellen Benutzeroberfläche und einem groß angelegten Partnerprogramm auf Plattformen wie BreachForums wirbt, offenbart der Programmcode laut CPR erhebliche Mängel. Die Forscher vermuten, dass Teile des Codes entweder von künstlicher Intelligenz generiert oder aus veralteten Quellen ungeprüft übernommen wurden.
Ein Beleg für diese Theorie ist die Liste der Länder, die von Angriffen ausgenommen sind. VECT schließt Staaten der Gemeinschaft Unabhängiger Staaten (GUS) von seinen Angriffen aus. Überraschenderweise befindet sich auch die Ukraine weiterhin auf dieser Ausnahmeliste. Das ist ein Verhalten, das bei russischsprachigen Cyberkriminellen seit Beginn des Krieges im Jahr 2022 untypisch ist und auf die Verwendung alter Codebausteine hindeutet. Weitere Fehler betreffen eine sich selbst aufhebende Verschlüsselung in der Linux-Version sowie eine ineffiziente Steuerung der Rechenprozesse, die die Systemleistung unnötig stark belastet.
Gefährliche Allianz mit TeamPCP und BreachForums zur Massenverbreitung
Trotz der technischen Defizite stellt die Gruppe eine Bedrohung dar, da sie auf eine aggressive Expansionsstrategie setzt. VECT ist eine Partnerschaft mit der Gruppe TeamPCP eingegangen, die im März 2026 durch Supply-Chain-Angriffe auf Entwickler-Tools bekannt wurde. Ziel dieser Kooperation ist es, bereits gestohlene Zugangsdaten direkt für die Verbreitung der Schadsoftware zu nutzen.
Zusätzlich öffnete die Gruppe ihre Infrastruktur für die über 300.000 registrierten Mitglieder von BreachForums. Durch dieses Modell des industrialisierten Ransomware-Einsatzes erreicht VECT eine enorme Reichweite. Die Angreifer versprechen ihren Partnern hohe Provisionsanteile von bis zu 89 Prozent der Erpressungssummen, zahlbar in der anonymen Kryptowährung Monero (XMR).
Empfehlungen für betroffene Unternehmen und IT-Verantwortliche
Die Empfehlung der Sicherheitsexperten lautet: Zahlen Sie unter keinen Umständen ein Lösegeld. Da die technischen Voraussetzungen für eine Entschlüsselung durch den Fehler der Entwickler vernichtet wurden, führt eine Zahlung lediglich zur finanziellen Unterstützung der Kriminellen, ohne dass eine Datenrettung möglich ist.
Unternehmen sollten ihren Fokus stattdessen auf Resilienz und Wiederherstellungsstrategien legen:
- Priorisierung von Offline-Backups, die physisch vom Netzwerk getrennt sind.
- Sofortige Einleitung von Incident-Response-Maßnahmen zur Eindämmung der Ausbreitung.
- Überprüfung der CI/CD-Pipelines auf Kompromittierungen durch die Partner von TeamPCP.
Die VECT-Ransomware zeigt deutlich, dass eine professionelle Fassade im Cybercrime-Bereich nicht zwangsläufig mit technischer Kompetenz einhergeht. In diesem Fall ist das Versagen der Entwickler das größte Risiko für die Opfer.
