✅ 보고서 제목: VECT 랜섬웨어 그룹 생태계 심층 분석 보고서
✅ 보고서 요약:
📌 벡트(VECT) 랜섬웨어 그룹은 어떤 조직인가요?
- VECT 랜섬웨어는 BreachForums V7에서 RaaS(Ransomware-as-a-Service)를 홍보하며 활동을 시작했으며, 초기 유료였던 패널 접근 키를 BreachForums V7 파트너십을 통해 포럼 회원들에게 무상 배포하며 조직 규모를 확대했습니다.
- TeamPCP, Rostova 등 초기 침투 및 데이터 유출 전문 그룹과의 협력을 통해 역할 분담 기반의 사이버 범죄 생태계를 구축하려는 전략적 의도를 보입니다.
- VECT 랜섬웨어 그룹은 현재 DLS(Dedicated Leak Site) 운영을 중단했으나, BreachForums V7 전체 회원에게 RaaS 패널 접근 권한을 배포한 이력으로 인해 VECT 계열의 변종 랜섬웨어가 등장할 가능성이 있습니다. 따라서 파트너 포럼 및 TeamPCP, Rostova 등 연계 그룹을 중심으로 한 재등장 정황에 대한 지속적인 추적과 모니터링이 요구됩니다.
VECT의 DLS
📌 그룹 프로파일링
- VECT 랜섬웨어 그룹은 BreachForums V7, Rehub 등 다크웹 포럼에서 활동하며 RaaS를 홍보하고 Affiliate를 모집합니다.
- BreachForums V7과 파트너십을 체결하고 포럼 내 회원들을 대상으로 가입 키를 배포하며 조직 규모를 확대했습니다.
- TeamPCP, Rostova 등 초기 침투 및 데이터 유출 전문 그룹과 협력하며 역할 분담 기반의 사이버 범죄 생태계 구조를 구축했습니다.
📌 딥다크웹(DDW)에서의 활동
- 기존 BreachForums와는 별도의 운영진에 의해 새롭게 개설된 BreachForums V7은 VECT 랜섬웨어 활동 시작 시기와 비슷하게 2026년 1월부터 운영을 시작했습니다.
- 기존의 대표 랜섬웨어 포럼이었던 RAMP가 폐쇄된 이후, BreachForums 운영진은 포럼 내 랜섬웨어 관련 활동을 허용하겠다는 입장을 밝히며, 최초의 포럼 기반 랜섬웨어 활동 그룹으로 VECT 랜섬웨어 그룹을 수용했다고 공지했습니다.
- 이후 VECT 랜섬웨어는 RaaS 홍보 및 Affiliate 모집 활동을 지속하며, BreachForums를 주요 RaaS 홍보 채널로 적극 활용했습니다.
📌 내부 Affiliate 패널 분석 결과
- Windows, Linux, ESXi 환경을 대상으로 한 바이너리 생성 기능이 확인되었습니다.
- Affiliate 활동을 통한 누적 수익 규모를 기준으로 등급이 나뉘어지며, 등급에 따라 운영진과 Affiliate 간의 수익 분배 비율이 차등 적용되는 구조입니다.
- 운영진뿐 아니라 모든 Affiliate가 참여할 수 있는 공개 채팅 기능이 존재하며, Affiliate가 협상 과정에 직접 참여할 수 있는 것으로 확인되었습니다.
📌 바이너리 분석
- VECT 랜섬웨어 바이너리는 Windows, Linux, ESXi 환경을 모두 지원하며 문자열 난독화 및 Anti-VM/Anti-Debugging 기법을 다수 포함합니다.
- 암호화에는 ChaCha20 알고리즘이 사용되나, 암호화 키가 고정되어 있어 복호화가 가능하며, 대용량 파일 부분 암호화 시 Nonce 값 미보존으로 인해 복호화가 어려울 수 있는 결함도 함께 확인되었습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- VECT 랜섬웨어는 Windows, Linux, ESXi 환경을 대상으로 동작하며, 파일 암호화뿐 아니라 Active Directory 기반 원격 실행, SSH 기반 측면 이동, 보안 기능 비활성화, 로그 및 히스토리 삭제, 서비스·프로세스 종료 기능을 포함합니다.
- 별도의 C2 통신 행위보다 로컬 및 내부망 기반 TTP가 중심이므로, 배포 단계의 원격 실행 행위와 호스트 기반 행위 탐지, 그리고 로그 삭제 및 복구 방해 행위에 대한 선제적 탐지·대응 체계가 필요합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.