En bref

  • VECT 2.0 détruit irrémédiablement tout fichier de plus de 128 Ko sur Windows, Linux et ESXi.
  • Le bug d'implémentation écrase trois nonces sur quatre : même les opérateurs ne peuvent plus déchiffrer.
  • Les victimes qui paient la rançon perdent quand même leurs données — il faut s'appuyer sur les sauvegardes hors ligne.

Ce qui s'est passé

Check Point Research a publié le 28 avril une analyse détaillée de VECT 2.0, une nouvelle souche de ransomware-as-a-service lancée en décembre 2025. Les chercheurs ont découvert un défaut critique dans son moteur cryptographique : pour tout fichier dépassant 131 072 octets (128 Ko), le malware ne conserve qu'un seul nonce sur les quatre générés. Résultat, même avec la clé de déchiffrement, il devient mathématiquement impossible de reconstituer les données.

Concrètement, VECT découpe chaque fichier en quatre blocs et chiffre chacun avec un nonce aléatoire de 12 octets. Mais les quatre appels de chiffrement écrivent dans un seul et même buffer mémoire partagé, donc seul le quatrième nonce survit. Les trois premiers blocs deviennent indéchiffrables, même pour les opérateurs du ransomware. Le bug est identique sur les variantes Windows, Linux et ESXi.

The Hacker News rapporte que VECT vient d'annoncer un partenariat avec TeamPCP, le groupe d'attaque sur la chaîne logicielle responsable d'injections de malware dans Trivy, Checkmarx KICS, LiteLLM et Telnyx. Une combinaison particulièrement préoccupante puisqu'elle ouvre la voie à du ransomware via des composants open source légitimes.

Pourquoi c'est important

La distinction technique entre ransomware et wiper détermine totalement la réponse à incident. Avec un wiper, payer la rançon n'a aucun intérêt — les données sont perdues quoi qu'il arrive. Or VECT 2.0 se vend toujours comme un ransomware classique, ce qui peut induire les négociateurs en erreur. Pour les entreprises touchées, l'enjeu est immédiat : seules les sauvegardes hors ligne ou immuables permettent une restauration. La frontière des 128 Ko couvre la quasi-totalité des fichiers utiles en production : bases de données, machines virtuelles, archives, logs, documents bureautiques.

L'association avec TeamPCP ajoute une dimension supply chain redoutable. Les paquets compromis cités par les chercheurs — Trivy notamment, scanner de vulnérabilités très utilisé en CI/CD — sont présents dans des milliers de pipelines DevOps. Une infection en amont peut donc déclencher VECT sur des systèmes de production via des outils supposés les protéger.

Ce qu'il faut retenir

  • Vérifier l'intégrité des sauvegardes hors ligne et tester la procédure de restauration pour les fichiers >128 Ko.
  • Auditer les composants open source utilisés en CI/CD, notamment Trivy, Checkmarx KICS et LiteLLM, et vérifier les hashes des versions installées.
  • Communiquer aux équipes IR : payer une rançon VECT 2.0 ne ramènera pas les données — la réponse doit privilégier l'isolation et la restauration.

Pourquoi VECT 2.0 est-il qualifié de wiper plutôt que de ransomware ?

Parce que la conception même du chiffrement rend toute récupération impossible pour les fichiers de plus de 128 Ko. Un ransomware permet techniquement de retrouver les données contre paiement ; ici, les nonces utilisés pour chiffrer trois blocs sur quatre sont écrasés en mémoire avant d'être stockés, donc même les opérateurs n'ont pas la clé complète.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact