Image credit: magnific
Ransomware Cacat Penghancur Data Permanen – Para peneliti keamanan baru-baru ini mengeluarkan peringatan serius mengenai VECT 2.0, sebuah varian ransomware yang memiliki cacat fatal dalam kode pemrogramannya.
Bukannya mengenkripsi data agar bisa dipulihkan setelah pembayaran, ransomware ini justru menghancurkan file berukuran besar secara permanen akibat kesalahan penanganan nonce (angka unik dalam enkripsi).
VECT 2.0 mulai mencuri perhatian setelah dipromosikan di forum peretasan BreachForums, di mana operatornya mengundang pengguna terdaftar untuk menjadi afiliasi.
Kelompok ini juga mengeklaim telah bermitra dengan TeamPCP, kelompok ancaman di balik serangan rantai pasok (supply-chain) besar terhadap entitas seperti Trivy, LiteLLM, hingga Komisi Eropa.
Tujuan utama mereka adalah mengeksploitasi korban dari serangan rantai pasok tersebut dengan menyebarkan muatan ransomware.
Dari Enkripsi Menjadi Penghancur Data
Cacat teknis pada VECT 2.0 terletak pada bagaimana cara ia menangani file berukuran di atas 128 KB.
Untuk meningkatkan kecepatan, ransomware ini membagi file besar menjadi empat bagian (chunk) dan mengenkripsinya secara terpisah. Namun, pengembangnya melakukan kesalahan logika yang fatal:
- Penumpukan Nonce: Semua proses enkripsi bagian file menggunakan buffer memori yang sama untuk output nonce. Akibatnya, setiap nonce baru akan menimpa (overwrite) nonce sebelumnya.
- Kehilangan Kunci Dekripsi: Setelah semua bagian diproses, hanya nonce terakhir yang tersisa di memori dan ditulis ke disk. Tiga nonce sebelumnya hilang selamanya.
- Mustahil Dipulihkan: Karena nonce yang hilang tersebut tidak dikirimkan ke penyerang maupun disimpan di sistem korban, data tersebut menjadi mustahil untuk didekripsi. Hanya 25% bagian terakhir dari file yang bisa dipulihkan, sementara 75% sisanya rusak permanen.
Hal ini berarti, bahkan jika korban membayar tebusan, operator VECT 2.0 tidak akan pernah bisa membantu memulihkan data tersebut karena mereka sendiri tidak memiliki kunci yang diperlukan.
Dampak Katastrofik bagi Infrastruktur Perusahaan
Batas 128 KB adalah ambang batas yang sangat rendah. Ukuran ini bahkan lebih kecil dari lampiran email standar atau dokumen kantor biasa.
Artinya, hampir semua file berharga di lingkungan perusahaan, termasuk disk mesin virtual (VM), file basis data, cadangan (backup), hingga kotak surat email akan hancur secara permanen jika terinfeksi.
Kerentanan ini ditemukan pada semua varian VECT 2.0, baik untuk sistem operasi Windows, Linux, maupun ESXi.
Dengan kata lain, VECT 2.0 lebih tepat dikategorikan sebagai “data wiper” (penghapus data) yang menyamar sebagai ransomware.
|
Baca juga: Mengenal Security as a Service (SECaaS) |
Langkah Penjagaan dan Resiliensi Data
Menghadapi ancaman yang bersifat merusak secara permanen seperti VECT 2.0, strategi pertahanan konvensional harus diperkuat dengan fokus pada pemulihan:
- Implementasi Cadangan “Offline” dan “Immutable”: Pastikan Anda memiliki cadangan data yang disimpan di luar jaringan (offline) atau menggunakan penyimpanan yang tidak dapat diubah (immutable storage). Ini adalah satu-satunya cara untuk memulihkan data jika VECT 2.0 menghancurkan file utama Anda.
- Perketat Keamanan Rantai Pasok: Mengingat afiliasi VECT 2.0 menargetkan korban melalui kompromi alat pengembangan dan pustaka pihak ketiga, lakukan audit rutin terhadap dependensi perangkat lunak yang Anda gunakan.
- Pantau Aktivitas Penghapusan Massal: Gunakan solusi pemantauan yang dapat mendeteksi perilaku penulisan ulang file secara cepat dan massal, yang merupakan ciri khas proses enkripsi (atau penghancuran) ransomware.
- Jangan Pernah Membayar Tebusan: Dalam kasus VECT 2.0, membayar tebusan hanya akan membuang uang secara percuma karena data tersebut secara teknis memang sudah tidak bisa diselamatkan oleh siapa pun.
Ancaman Wiper yang Ceroboh
VECT 2.0 menjadi pengingat bahwa tidak semua penjahat siber adalah pengembang perangkat lunak yang kompeten.
Kesalahan kode yang ceroboh dari pihak penyerang justru mendatangkan malapetaka yang lebih besar bagi korban karena menutup jalan pemulihan sama sekali.
Di tahun 2026, strategi keamanan Anda tidak boleh hanya mengandalkan “harapan untuk memulihkan”, tetapi harus berfokus pada pencegahan infeksi di perimeter dan ketersediaan cadangan data yang tidak tersentuh oleh jaringan utama.
Sumber berita:
