128KB 임계값 설계 오류로 데이터 복구 불능 상태를 유발한 Wiper형 Ransomware 분석

Don't pay Vect a ransom - your data's likely already wiped out

Jessica Lyons2026년 4월 28일3분intermediate

AI 요약

Context

Trivy, LiteLLM 등 Supply-chain compromise를 통해 전파된 VECT Ransomware의 동작 방식 분석. 전문적인 Ransomware 기능을 모방했으나 내부 구현 단계에서 심각한 로직 결함이 발생한 사례.

libsodium 기반의 Encryption design을 채택하여 Windows, Linux, ESXi 환경을 동시 지원하는 멀티 플랫폼 구조 설계
파일 크기 131,072 bytes(128 KB)를 기준으로 처리 로직을 분기하는 Threshold 기반 필터링 적용
128 KB 초과 파일에 대해 데이터를 4개의 Chunk로 나누어 처리하는 Four-chunk logic 구현
복호화에 필수적인 Nonce 중 3개를 폐기하는 구현 오류로 인해 원본 데이터의 영구적 손실을 초래하는 Data Wiper로 동작
Ransomware-as-a-Service(RaaS) 형태로 패널과 빌더를 제공하여 공격 진입 장벽을 낮춘 배포 구조

실천 포인트

1. 암호화 로직 구현 시 Nonce 및 IV(Initialization Vector)의 보존 및 전달 프로세스 검증

2. 대용량 파일 처리 시 Chunking 로직의 무결성 테스트 케이스 확보

3. Supply-chain 공격 방지를 위한 의존성 라이브러리의 무결성 검사 및 최신 패치 적용

4. 데이터 복구 가능성을 보장하는 오프라인 백업 전략 수립

태그