VECT-Ransomware: Hacker-Laien werden zur echten Gefahr

Veröffentlicht am 10. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Check Point weist auf eine neue Gefahr im Bereich der Cybersicherheit hin. "Laien als Hacker", die Schadsoftware mit dilettantischem Code erstellen. Dank KI-Coding und Darknet-Plattformen ist dies möglich. Eine so verteilte Ransomware lässt den Opfern oft keine Chance, an die verschlüsselten Daten zu kommen, da Bugs das Entschlüsseln verhindern oder ein Wiper-Code die Daten ungewollt löscht.

VECT-Ransomware-Gruppe, bestehend aus Hacker-Laien

Mir ist in den letzten Tagen bereits der Hinweis auf die "neue" VECT-Ransomware-Gruppe untergekommen. Diese Gruppe tauchte Ende 2025 auf. Die VECT Ransomware-Gruppe hat sich vorgenommen das Geschäft der digitalen Erpressung zu demokratisieren, schreibt Check Point Research.

Die VECT-Ransomware-Gruppe ist eine Partnerschaft mit BreachForums eingegangen. Das ist einer der größten Marktplätze für Cyberkriminalität. Mit dieser Partnerschaft öffnete VECT seine Plattform für jeden registrierten Nutzer. Die Folge war, dass die praktisch über Nacht Tausende potenzielle Angreifer auf den Plan rief, die ein Geschäft witterten.

Gleichzeitig sicherte sich die VECT Ransomware-Gruppe eine Kooperation mit TeamPCP. Deren Mitglieder sind durch eine Reihe an Supply-Chain-Angriffen auf weit verbreitete Entwicklertools bekannt geworden. Der Plan von VECT ist einfach: Bestehende Zugänge als Sprungbrett für massenhafte Ransomware-Angriffe nutzen.

Theoretisch eine ernstzunehmenden Eskalation

Liest man obige Ausführungen, klingt der Ansatz auf dem Papier nach einer ernstzunehmenden Eskalation. In der Praxis zeigt die Analyse von Check Point Research (CPR) jedoch ein anderes Bild (was für Opfer aber kein Trost, sondern eher ein Problem ist). Denn VECT ist im Kern in gravierendem Ausmaß fehlerhaft.

Denn bei der Verschlüsselung großer Dateien vernichtet die Software unwiederbringlich die Informationen, die zur Entschlüsselung nötig wären. Das bedeutet den Verlust aller Daten, die für Unternehmen am wertvollsten sind: Datenbanken, VM-Images, Backups. Eine Katastrophe.

Doch das geschieht nicht absichtlich, wie Check Point Research herausgefunden hat. Vielmehr glänzt die VECT Ransomware-Gruppe mit "handwerklicher Inkompetenz", wenn man das so ausdrücken will. Es gibt schlicht keinen Schlüssel, den die Angreifer zurückgeben könnten, selbst wenn sie wollten. Selbst wer als Opfer die geforderte Ransomware zahlt, bekommt nichts, keinen funktionierenden Schlüssel zum Wiederherstellen der Dateien. VECT ist damit keine Ransomware im eigentlichen Sinne, sondern ein Wiper: ein Datenlöscher mit beigefügter Lösegeldforderung.

Professionelles Marketing, dilettantischer Code

Check Point Research (CPR)hat sich die Mühe gemacht und die Ransomware getestet. Dieser  oben angesprochene Fehler, dass große, verschlüsselte Dateien sich nicht wieder entschlüsseln lassen, zieht sich laut CPR durch alle Versionen der Malware, ob Windows, Linux oder ESXi, und wurde nie behoben.

CPR hat zudem festgestellt, dass zahlreiche beworbene Funktionen schlicht nicht implementiert sind: Geschwindigkeitseinstellungen für die Verschlüsselung werden ignoriert, Anti-Analyse-Mechanismen sind zwar im Code angelegt, aber nie aktiviert worden.

Es deutet vieles darauf hin, dass VECT das Werk von Neulingen ist, die mehr Wert auf professionelles Marketing als auf funktionierenden Code gelegt haben. Möglicherweise haben sie auch KI zu Hilfe genommen, die oberflächlich plausible, im Detail aber fehlerhafte Ergebnisse lieferte.

Man könnte nun meinen, eine derart fehlerhafte Ransomware sei kaum der Rede wert. Das wäre ein gefährlicher Trugschluss. Denn zum einen richtet VECT trotz oder gerade wegen seiner Fehler erheblichen Schaden an: Daten werden unwiederbringlich zerstört, Systeme fallen aus, und vor der Verschlüsselung können Daten nach wie vor abgezogen und als Druckmittel verwendet werden. Zum anderen ist der Fehler behebbar. Eine korrigierte Version, verteilt über ein Netzwerk mit Tausenden von Partnern, wäre eine deutlich gefährlichere Angelegenheit. So wird auch eine dilettantisch programmierte Ransomware zur existenziellen Gefahr, schließt CPR seine Einschätzung ab.

Die Lehren aus dem Fall VECT für Unternehmen

Für Unternehmen, die mit Ransomware infiltriert wurden, gilt eine klare Empfehlung: Bloß kein Lösegeld zahlen. Es gibt keinen funktionierenden Entschlüssler und es wird keinen geben. Stattdessen sollte der Fokus auf der Wiederherstellung aus sauberen Backups liegen, und das Incident-Response-Team sollte sofort eingeschaltet werden.

Resilienz im Unternehmen hinterfragen

Für alle anderen Unternehmen sollte VECT aus diesem Blickwinkel ein Anlass sein, die eigene Resilienz ehrlich zu hinterfragen. Denn der Fall zeigt ein Muster, das sich in der Bedrohungslandschaft zunehmend verfestigt: Ransomware wird immer zugänglicher, auch für Akteure ohne tiefgreifende technische Expertise. Die Einstiegshürden sinken, während die potenzielle Reichweite durch Partnernetzwerke und kompromittierte Lieferketten steigt. Wer sich darauf verlässt, dass nur "professionelle" Gruppen eine Gefahr darstellen, unterschätzt die Dynamik dieser kriminellen Schattenwirtschaft.

Backup-Strategie prüfen und Passwörter nach Angriffen ändern

Konkret bedeutet das: Unternehmen, die von den TeamPCP-Supply-Chain-Angriffen auf Tools wie Trivy, KICS, LiteLLM oder Telnyx betroffen waren, sollten die Erneuerung kompromittierter Anmeldedaten zur obersten Priorität erklären. Darüber hinaus muss die eigene Backup-Strategie kritisch geprüft werden. Allerdings nicht nur auf dem Papier, sondern per Ernstfall-Test.

Endpoint-Schutzlösungen einsetzen

Da Check Point Research für einen Sicherheitsanbieter arbeitet, kommt natürlich auch die Empfehlung, dass Endpoint-Schutzlösungen sämtliche Plattformen abdecken sollten. Das umfasst auch Linux- und ESXi-Umgebungen, die in vielen Unternehmen noch vernachlässigt werden. Nicht zuletzt sollte die Erkennung und Abwehr unbekannter Bedrohungen durch Sandboxing und verhaltensbasierte Analyse fester Bestandteil jeder Sicherheitsarchitektur sein.

VECT mag das Werk von Amateuren sein. Aber Amateure mit Reichweite und einer lernfähigen Plattform sind kein Randproblem mehr, sondern leider genauso ernst zu nehmende Risiken wie erfahrene Hacker. Präventive Sicherheitsmaßnahmen sind daher das Gebot der Stunde.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.