來自 Dataminr 的最新數據顯示，勒索軟體組織 Vect 已與網路犯罪市場 BreachForums 和駭客組織 TeamPCP 正式建立合作關係。 Vect 的這項舉措降低了勒索軟體業者的准入門檻，激勵其成員發動攻擊，並利用先前洩漏的資料擴大影響範圍。透過分發聯盟金鑰，該組織表明其正更加協調地推進其RaaS（勒索軟體即服務）模式的規模擴張。此次轉變建立在 Vect 自 2025 年底以來的快速發展之上，當時該組織建立了結構化的多層級聯盟計劃，部署了基於 TOR 的基礎設施，並改進了雙重勒索策略，將數據竊取與加密相結合，以加大對受害者的壓力。

Dataminr在上週發布的《網路情報簡報》中詳細闡述道：「大規模供應鏈憑證竊取、日趨成熟的勒索軟體即服務（RaaS）運營以及暗網論壇的大規模動員，三者匯聚，構成了一種前所未有的工業化勒索軟體部署模式。任何受到近期數位供應鏈的交易的組織，都必須將憑證證明。

在其外洩網站上，該組織列出了受害者名單，其中包括 Guesty，據稱其約 700 GB 的資料在與 TeamPCP 的 LiteLLM/Trivy 活動相關的攻擊中被竊取；印度製造商 USHA International Limited，據報道其員工資料和 SAP 資料庫仍未洩露；以及 S&P Global，該公司已被列入名單，但截至第三方已發布時證實。

Vect/ TeamPCP/ BreachForums 的合作模式是網路犯罪產業化進程的一部分，這一進程至少從 2020 年就開始發展。透過存取代理向勒索軟體運營者提供資源這一基本概念早已為人所知。而這項合作的新特點在於，它將供應鏈來源的存取資源、大規模的公眾成員動員以及論壇整合的營運基礎設施相結合，並以前所未有的規模同時應用，這在勒索軟體合作的歷史記錄中尚屬首次。

Vect RaaS 組織於去年 12 月出現，最初透過招募聯盟成員的方式進行活動，隨後在 2026 年 1 月初開始主動鎖定受害者。到 2 月，該組織推出了更加結構化的聯盟計劃，並擴大了基礎設施，鞏固了經典的雙重勒索模式：在加密之前竊取數據，並在受害者拒絕付款時威脅將其發佈到基於 TOR 的洩露網站上。

Vect 的營運成熟度特別突出。它採用專用工具、僅基於 TOR 的基礎設施、門羅幣支付、基於 TOX 的聯盟行銷溝通以及多層級聯盟結構，這些都表明其運營者經驗豐富，很可能是某個成熟勒索軟體組織的更名或分支。此外，它還免除了獨聯體地區用戶的聯盟費用，這進一步暗示其用戶群體以俄語為主，與勒索軟體即服務 (RaaS) 生態系統中的常見模式相符。

根據Dataminr的簡報，「2026年4月16日，Dataminr檢測到BreachForums和Vect之間正式的營運合作關係中存在密鑰分發活動，該合作關係此前已宣布並搭建了基礎設施。」簡報還指出，「與此同時，Vec t與TeamPCP也宣布結盟，TeamPCP是一個威脅組織，在2026年3月期間曾積極攻擊開源安全工具。

Vect 的勒索軟體完全使用 C++ 編寫，而非源自 LockBit 或 Conti 等組織洩漏的原始程式碼，這使其與目前大多數勒索軟體服務 (RaaS) 截然不同。它採用 ChaCha20-Poly1305 AEAD 演算法，並結合間歇性檔案層級加密，僅對檔案的部分內容進行加密，在加速執行的同時，仍能造成嚴重的營運中斷。

該惡意軟體旨在攻擊多個平台，明確支援 Windows、Linux 和 VMware ESXi 環境，體現了其對企業級影響的重視。它採用防禦規避技術，透過操縱 Windows 安全模式啟動設定來抑制安全工具，並在有效載荷執行前終止安全性、備份和資料庫進程。 Vect 利用 SMB 和 WinRM 協定進行橫向移動，同時內建的 LAN 掃描功能可在首次存取後自動進行網路偵察。

作為擴展的合作夥伴模式和基礎設施的一部分，Vect 使 BreachForums 成員能夠更輕鬆地部署勒索軟體，並將利用 TeamPCP 供應鏈攻擊的受害者來攻擊處於脆弱狀態的組織。有三個因素使這種安排與眾不同，也使得「史無前例」的說法不無道理。

首先是聯盟成員動員的規模。先前，勒索軟體合作的初始准入通常是透過論壇或加密管道進行的低調的雙邊交易。 Vect 和 BreachForums 的模式則顛覆了這種做法，轉而採取公開的大規模招募活動，旨在一次性將論壇上約 30 萬註冊用戶轉化為活躍的聯盟成員。先前沒有任何勒索軟體行動嘗試透過一次公告就將整個網路犯罪論壇啟動為分發網路。即使是 Conti 的聯盟計劃，雖然規模龐大，但也依賴選擇性招募，而非全面招募。

其次是存取方式本身的性質。傳統的初始存取管道依賴網路釣魚、暴露的遠端桌面協定 (RDP) 服務、撞庫攻擊或 VPN 漏洞。相較之下，TeamPCP 透過毒化嵌入企業 CI/CD 管道中的可信任開源安全工具來取得存取權限，從而有效地從目標建立環境內部入侵目標系統。這改變了 Vect 關聯公司可獲得的存取權限的品質和規模，使其不再局限於邊界入侵，而是深入企業系統的底層。

第三點是論壇的作用。 BreachForums 不僅僅是一個分發管道，更是一個營運基礎設施，直接在平台內支援託管服務、聯盟協調和金鑰分發。歷史上，論壇在勒索軟體行動中扮演著聲譽維護的角色，用於宣傳程式或發布受害者聲明。 Vect 的模型將論壇整合到執行層本身，將其嵌入到勒索軟體部署流程中，這種規模的整合方式從未被記錄過。

各組織應迅速採取行動。任何在 2026 年 3 月期間將 Trivy GitHub Actions、Checkmarx KICS、LiteLLM 1.82.7 或 1.82.8 版本，或 Telnyx SDK 4.87.1 或 4.87.2 版本整合到 CI/CD 流水線中的環境，都應假定其已遭存取權限， API 金鑰、SSH 金鑰、GitHub 個人存取權杖和 Kubernetes 令牌。同時，團隊需要審核 CI/CD 依賴項，檢查受影響版本的管線配置，並將所有元件鎖定到已驗證且經過雜湊驗證的建置版本，同時實施軟體物料清單 (BSM) 流程以提高可見度。

整個環境中的防禦控制也需要加強。應在所有非必要情況下停用 WinRM，強制執行 SMB 簽名，並設定分段規則以阻止東西向 SMB 和 WinRM 流量。安全團隊應配置 SIEM 警報，以偵測 bcdedit 執行和 SafeBoot 註冊表項的更改，因為這些是 Vect 勒索軟體活動的已知先兆。 VMware ESXi 環境尤其需要關注，管理網路應與常規流量隔離，並且管理存取權限應限制在專用跳轉主機上，這些跳轉主機應採用防釣魚的多因素身份驗證進行保護。

必須調整偵測和回應能力，以便及早發現異常活動。端點偵測系統應針對間歇性檔案加密模式、大規模檔案重新命名、安全性和備份服務異常終止以及未經授權的安全模式修改發出警報，同時盡可能強制執行防篡改保護和應用程式白名單機制。

鑑於 Vect 的命令與控制和協商基礎設施完全基於 Tor 網路運行，網路控制措施應阻止與 Tor 入口節點的出站連接，並阻止基於洋蔥路由的 DNS 解析。最後，各組織應積極監控 Vect 的洩漏站點，以防出現任何洩漏跡象，因為儘早發現洩漏事件可以為在資料完全發布之前啟動事件回應提供短暫但至關重要的視窗期。

資料來源：https://industrialcyber.co/ransomware/vect-formalizes-breachforums-and-teampcp-alliance-to-push-model-for-industrialized-ransomware-scale-raas-operations/