Ransomware

Check Point Analyse zeigt: Über VECT werden selbst Laien zu Ransomware-Angreifer

, Check Point | Autor: Herbert Wieler

Check Point Analyse zeigt: Über VECT werden selbst Laien zu Ransomware-Angreifer

Warum Unternehmen sich auch vor KI-gestützten Amateur-Hackern schützen müssen

Die nächste große Cyberbedrohung kommt womöglich nicht mehr von Elite-Hackern, sondern von technisch unerfahrenen Angreifern mit Zugang zu professionellen Angriffsplattformen. Genau dieses Szenario zeigt der Fall VECT: Eine neue Ransomware-Gruppe demokratisiert digitale Erpressung und macht Cyberangriffe für Tausende Nutzer zugänglich. Für Unternehmen entsteht dadurch ein gefährlicher Wendepunkt, denn selbst fehlerhafte Schadsoftware kann heute massive Schäden verursachen.

Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist von Check Point ordnet ein.

Ende 2025 sorgte die neue Ransomware-Gruppe VECT für Aufsehen in der Cybersecurity-Szene.

Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist
Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist

Ihr Ziel: digitale Erpressung so einfach zugänglich machen wie nie zuvor. Durch die Kooperation mit BreachForums, einem der größten Marktplätze für Cyberkriminalität, öffnete VECT seine Plattform für praktisch jeden registrierten Nutzer. Innerhalb kürzester Zeit entstand so ein Netzwerk potenzieller Angreifer mit enormer Reichweite.

Zusätzliche Brisanz erhielt die Entwicklung durch die Zusammenarbeit mit TeamPCP . Die Gruppierung wurde bereits durch mehrere Supply-Chain-Angriffe auf bekannte Entwicklertools bekannt. Der Plan hinter der Allianz: kompromittierte Zugänge und bestehende Infrastrukturen als Sprungbrett für großflächige Ransomware-Angriffe nutzen.

Professioneller Auftritt – katastrophaler Code

Auf den ersten Blick wirkte VECT wie die nächste Evolutionsstufe moderner Cybererpressung. Die Analyse von Check Point Research (CPR) zeigt jedoch ein überraschendes Bild: Die Malware weist gravierende technische Fehler auf.

Besonders kritisch ist die fehlerhafte Verschlüsselung großer Dateien. Datenbanken, virtuelle Maschinen oder Backups werden dabei irreversibel beschädigt, weil die Software die für eine Entschlüsselung notwendigen Informationen zerstört. Selbst wenn Opfer Lösegeld zahlen würden, könnten die Angreifer die Daten nicht wiederherstellen.

Damit ist VECT streng genommen keine klassische Ransomware mehr, sondern eher ein Wiper – also eine Schadsoftware zur Datenvernichtung mit angehängter Lösegeldforderung. Der schwerwiegende Programmierfehler zieht sich laut CPR durch sämtliche Varianten für Windows, Linux und ESXi. Hinzu kommt: Zahlreiche beworbene Funktionen existieren lediglich auf dem Papier. Geschwindigkeitseinstellungen für die Verschlüsselung bleiben wirkungslos, Anti-Analyse-Mechanismen wurden nie vollständig aktiviert.

Für Experten deutet vieles darauf hin, dass hinter VECT keine hochprofessionellen Entwickler stehen, sondern technisch unerfahrene Akteure mit starkem Fokus auf Vermarktung und Reichweite. Auch der Einsatz generativer KI bei der Entwicklung gilt als wahrscheinlich: plausibel wirkender Code, der in entscheidenden Details versagt.

Warum VECT trotzdem brandgefährlich ist

Gerade die technische Schwäche macht VECT so gefährlich. Denn trotz mangelhafter Programmierung verursacht die Schadsoftware massive Schäden. Daten werden dauerhaft zerstört, Systeme fallen aus und sensible Informationen können vor der Verschlüsselung exfiltriert und zur Erpressung genutzt werden.

Hinzu kommt ein noch größeres Risiko: Die bestehenden Fehler lassen sich jederzeit beheben. Sollte eine technisch verbesserte Version über das bereits etablierte Partnernetzwerk verteilt werden, könnte daraus innerhalb kürzester Zeit eine deutlich gefährlichere Angriffswelle entstehen.

Der Fall zeigt damit eine besorgniserregende Entwicklung in der Cyberkriminalität: Die Einstiegshürden sinken rapide. Cyberangriffe werden zunehmend industrialisiert und skalierbar – auch für Täter ohne tiefgreifende technische Kenntnisse.

Was Unternehmen jetzt tun müssen

Für betroffene Unternehmen gilt laut Sicherheitsexperten eine klare Empfehlung: kein Lösegeld zahlen. Da kein funktionierender Entschlüsselungsmechanismus existiert, bringt eine Zahlung keinen Nutzen. Stattdessen sollte die Wiederherstellung aus sauberen Backups sowie eine schnelle Incident-Response im Mittelpunkt stehen.

Darüber hinaus liefert der Fall VECT wichtige Lehren für die gesamte Wirtschaft:

  • Kompromittierte Zugangsdaten müssen sofort erneuert werden
  • Backup-Strategien sollten regelmäßig unter realistischen Bedingungen getestet werden
  • Endpoint-Schutz muss auch Linux- und ESXi-Systeme abdecken
  • Verhaltensbasierte Analysen und Sandboxing sollten Standard moderner Sicherheitsarchitekturen sein
  • Supply-Chain-Risiken bei Entwickler-Tools müssen deutlich stärker überwacht werden

Besonders Unternehmen, die von früheren TeamPCP-Angriffen auf Tools wie Trivy, KICS, LiteLLM oder Telnyx betroffen waren, sollten ihre Sicherheitsmaßnahmen dringend überprüfen.

Der Fall VECT markiert einen Wendepunkt in der Bedrohungslage. Nicht mehr nur hochprofessionelle Hackergruppen stellen ein Risiko dar. Durch automatisierte Plattformen, Partnerprogramme und KI-gestützte Entwicklung können inzwischen auch unerfahrene Täter gravierende Cyberangriffe starten.

Für Unternehmen bedeutet das: Prävention, Resilienz und schnelle Reaktionsfähigkeit werden wichtiger denn je. Denn in einer Zeit, in der Cybercrime zunehmend demokratisiert wird, reicht es nicht mehr aus, nur auf die „großen“ Angreifer zu achten.