ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
エコシステムと活動の実態:「VECT」ランサムウェアグループ
2026.06.24

✅ レポートタイトル:エコシステムと活動の実態:「VECT」ランサムウェアグループ



📌 「VECT」ランサムウェアグループとはどのような組織ですか?


- 「VECT」ランサムウェアグループは、BreachForums V7においてランサムウェア・アズ・ア・サービス(RaaS)を宣伝することで活動を開始しました。


- 当初はパネルのアクセスキーを有料で提供していましたが、BreachForums V7とのパートナーシップを通じてフォーラムメンバーへ無償配布するかたちに切り替え、組織の規模を拡大しました。


- さらに、「TeamPCP」や「Rostova」といった初期侵入やデータ窃取を専門とするグループとの連携を通じ、役割分担型のサイバー犯罪エコシステムを構築しようとする戦略的な意図が確認されています。


- 現在、「VECT」ランサムウェアグループはDLS(Dedicated Leak Site)の運営を停止していますが、BreachForums V7の全メンバーにRaaSパネルへのアクセス権を配布した経緯から、「VECT」系の亜種ランサムウェアが出現する可能性があります。


- そのため、パートナーフォーラムや「TeamPCP」「Rostova」などの関連グループを中心に、再出現の兆候を継続的に追跡・監視することが求められます。


「VECT」のデータ漏洩サイト



📌 グループプロファイリング


- 「VECT」ランサムウェアグループは、BreachForums V7やRehubといったダークウェブフォーラムで活動しており、RaaSの宣伝とアフィリエイトの募集を行っています。


- BreachForums V7とパートナーシップを締結し、フォーラムのユーザーベースにサインアップキーを提供することで活動規模を拡大しました。


- 「TeamPCP」や「Rostova」など、初期侵入やデータ窃取を専門とするグループと連携し、役割分担型のサイバー犯罪の枠組みを構築しました。



📌 ディープ・ダークウェブ(DDW)上での活動


- 旧BreachForumsとは別の運営チームによって新たに開設されたBreachForums V7は、「VECT」ランサムウェアの活動開始時期とほぼ同じ2026年1月から運営を開始しました。


- かつてランサムウェアフォーラムの中心的存在であったRAMPが閉鎖された後、BreachForumsの運営陣はフォーラム内でのランサムウェア関連活動を許可する方針を発表し、「VECT」ランサムウェアグループをフォーラム初のランサムウェア活動グループとして受け入れたことを公表しました。


- 以降、「VECT」ランサムウェアはRaaSの宣伝とアフィリエイト募集活動を継続し、BreachForumsを主要なRaaS宣伝チャネルとして積極的に活用しています。



📌 アフィリエイト侵入調査の結果


- 「VECT」のパネルが提供する機能を確認しました。


- Windows、Linux、ESXi環境向けのバイナリ生成機能が確認されています。


- アフィリエイト活動を通じた累積収益額に基づいてグレードが区分されており、グレードに応じて運営陣とアフィリエイト間の収益配分率が異なる仕組みになっています。


- 運営陣だけでなく全アフィリエイトが参加できる公開チャット機能が存在し、アフィリエイトが交渉プロセスに直接関与できることが確認されています。



📌 バイナリ分析


- 「VECT」ランサムウェアのバイナリはWindows、Linux、ESXi環境に対応しており、複数の文字列難読化技術やAnti-VM/Anti-Debuggingの手法が実装されています。


- 暗号化にはChaCha20アルゴリズムが使用されていますが、暗号化キーが固定されているため、復号が可能です。


- また、大容量ファイルを部分的に暗号化する際にNonce値が保存されないという欠陥も確認されており、これにより復号が困難になる場合があります。



✅ 脅威検知の推奨事項と対策方法:


- 「VECT」ランサムウェアはWindows、Linux、ESXi環境を標的に動作しており、ファイルの暗号化に加え、Active Directoryを利用したリモート実行、SSHを利用したラテラルムーブメント、セキュリティ機能の無効化、ログや履歴の削除、サービスやプロセスの終了といった機能を備えています。


- 別途のC2通信ではなく、ローカルおよび内部ネットワークベースのTTPが中心であるため、展開フェーズにおけるリモート実行、ホストベースの行動検知、ログ削除や復旧妨害行為に対する先制的な検知・対応体制の整備が必要です。




🧑‍💻 レポート作成者: S2W 「TALON」


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。


ニュースハイライト
ウィークリーダークウェブ – 2026年6月第3週
2026.06.24
前へ
一覧