Ende 2025 tauchte mit VECT eine weitere Ransomware-Gruppe auf, die sich vorgenommen hat, das Geschäft der digitalen Erpressung zu demokratisieren. Durch eine Partnerschaft mit Breachforums, einem der größten Marktplätze für Cyberkriminalität, öffnete VECT seine Plattform für jeden registrierten Nutzer. Das rief Tausende potenzielle Angreifer praktisch über Nacht auf den Plan. Gleichzeitig sicherte sich die Gruppe eine Kooperation mit TeamPCP. Deren Mitglieder sind bekannt geworden durch eine Reihe an Supply-Chain-Angriffen auf weit verbreitete Entwicklertools. Der Plan: Bestehende Zugänge als Sprungbrett für massenhafte Ransomware-Angriffe nutzen.
Auf dem Papier klingt das nach einer ernstzunehmenden Eskalation. In der Praxis zeigt die Analyse von Check Point Research (CPR) jedoch ein anderes Bild. Denn VECT ist im Kern in gravierendem Ausmaß fehlerhaft. Denn bei der Verschlüsselung großer Dateien vernichtet die Software unwiederbringlich die Informationen, die zur Entschlüsselung nötig wären. Das bedeutet den Verlust aller Daten, die für Unternehmen am wertvollsten sind: Datenbanken, VM-Images, Backups. Eine Katastrophe. Doch das geschieht nicht absichtlich, sondern aus handwerklicher Inkompetenz. Es gibt schlicht keinen Schlüssel, den die Angreifer zurückgeben könnten, selbst wenn sie wollten. Wer zahlt, bekommt nichts. VECT ist damit keine Ransomware im eigentlichen Sinne, sondern ein Wiper: ein Datenlöscher mit beigefügter Lösegeldforderung.
VECT – Professionelles Marketing, dilettantischer Code
Dieser Fehler zieht sich durch alle Versionen, ob Windows, Linux oder ESXi, und wurde nie behoben. CPR hat zudem festgestellt, dass zahlreiche beworbene Funktionen schlicht nicht implementiert sind: Geschwindigkeitseinstellungen für die Verschlüsselung werden ignoriert, Anti-Analyse-Mechanismen sind zwar im Code angelegt, aber nie aktiviert worden. Es deutet vieles darauf hin, dass VECT das Werk von Neulingen ist, die mehr Wert auf professionelles Marketing als auf funktionierenden Code gelegt haben. Möglicherweise haben sie auch KI zu Hilfe genommen, die oberflächlich plausible, im Detail aber fehlerhafte Ergebnisse lieferte.
Man könnte nun meinen, eine derart fehlerhafte Ransomware sei kaum der Rede wert. Das wäre ein gefährlicher Trugschluss. Denn zum einen richtet VECT trotz oder gerade wegen seiner Fehler erheblichen Schaden an: Daten werden unwiederbringlich zerstört, Systeme fallen aus, und vor der Verschlüsselung können Daten nach wie vor abgezogen und als Druckmittel verwendet werden. Zum anderen ist der Fehler behebbar. Eine korrigierte Version, verteilt über ein Netzwerk mit Tausenden von Partnern, wäre eine deutlich gefährlichere Angelegenheit. So wird auch eine dilettantisch programmierte Ransomware zur existenziellen Gefahr.
Lehren aus dem Fall VECT für Unternehmen
Für Unternehmen, die mit Ransomware infiltriert wurden, gilt eine klare Empfehlung: Bloß kein Lösegeld zahlen. Es gibt keinen funktionierenden Entschlüsseler und es wird keinen geben. Stattdessen sollte der Fokus auf der Wiederherstellung aus sauberen Backups liegen, und das Incident-Response-Team sollte sofort eingeschaltet werden.
Für alle anderen Unternehmen ist VECT ein Anlass, die eigene Resilienz ehrlich zu hinterfragen. Denn der Fall zeigt ein Muster, das sich in der Bedrohungslandschaft zunehmend verfestigt: Ransomware wird immer zugänglicher, auch für Akteure ohne tiefgreifende technische Expertise. Die Einstiegshürden sinken, während die potenzielle Reichweite durch Partnernetzwerke und kompromittierte Lieferketten steigt. Wer sich darauf verlässt, dass nur „professionelle“ Gruppen eine Gefahr darstellen, unterschätzt die Dynamik dieser kriminellen Schattenwirtschaft.
Konkret bedeutet das: Unternehmen, die von den TeamPCP-Supply-Chain-Angriffen auf Tools wie Trivy, KICS, LiteLLM oder Telnyx betroffen waren, sollten die Erneuerung kompromittierter Anmeldedaten zur obersten Priorität erklären. Darüber hinaus muss die eigene Backup-Strategie kritisch geprüft werden. Allerdings nicht nur auf dem Papier, sondern per Ernstfall-Test. Endpoint-Schutzlösungen sollten sämtliche Plattformen abdecken, einschließlich Linux- und ESXi-Umgebungen, die in vielen Unternehmen noch vernachlässigt werden. Nicht zuletzt sollte die Erkennung und Abwehr unbekannter Bedrohungen durch Sandboxing und verhaltensbasierte Analyse fester Bestandteil jeder Sicherheitsarchitektur sein.
VECT mag das Werk von Amateuren sein. Aber Amateure mit Reichweite und einer lernfähigen Plattform sind kein Randproblem mehr, sondern leider genauso ernst zu nehmende Risiken wie erfahrene Hacker. Präventive Sicherheitsmaßnahmen sind daher das Gebot der Stunde.
Von Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist bei Check Point
