#threatreport #HighCompleteness Dark Web Profile: Vect Ransomware | 05-06-2026 Source: socradar.io/blog/dark-web-pr… Key details below ↓ 🧑‍💻Actors/Campaigns: Vect (🧠motivation: financially_motivated) Teampcp Dragonforce 💀Threats: Supply_chain_technique, Conti, Lockbit, Qtox_tool, Devman, Credential_harvesting_technique, Shadow_copies_delete_technique, Winrm_tool, Rclone_tool, Canisterworm, Windows_locker, 🎯Victims: Technology, Financial services, Healthcare, Manufacturing, Business services, Energy, Consumer services, Education, Agriculture & food production 🏭Industry: Healthcare, Foodtech, E-commerce, Education, Energy 🌐Geo: Kazakhstan, South africa, Russia, Egypt, India, Ukraine, Africa, Brazil, Israel, Belarus, Spain, Italy 📚TTPs: ⚔️Tactics: 10 🛠️Technics: 31 🧨IOCs: - File: 3 - Command: 1 💽Software: Trivy, LiteLLM, Linux, ESXi, Kubernetes, Microsoft Defender, MariaDB, MySQL, PostgreSQL, Redis, ... 🪙Crypto: monero, bitcoin 🔢Algorithms: base64, chacha20-poly1305, chacha20, poly1305, xor 🔠Functions: randombytes, Set-MpPreference 🗂️Win API: NtQueryInformationProcess, NetShareEnum, MoveFileExW 📜Programming Languages: powershell, python #threatreport: Vect ransomware emerged on December 31, 2025, as a financially motivated double-extortion ransomware-as-a-service operation, advertised on a Russian-language cybercrime forum. The group rapidly established a broad affiliate network, publishing their first 25 victims within four months, and formed alliances that connect them to other cyber threat actors, notably TeamPCP. This partnership enables them to leverage credentials harvested from multiple supply chain compromises, including significant breaches in Trivy and Checkmarx KICS. The Vect ransomware operates through a structured affiliate model, offering one of the lowest entry costs in the ransomware ecosystem at $250 paid in Monero, with waivers for applicants from the Commonwealth of Independent States (CIS). Affiliates gain access to functionality such as a payload builder for various operating systems and a collaborative platform for negotiating with victims. By mid-April 2026, a significant milestone occurred with BreachForums distributing Vect affiliation keys to its entire registered user base, effectively expanding the recruitment pool dramatically without the usual skill or experience requirements. Attacks initiated by Vect typically exploit supply chain vulnerabilities, particularly those exploited in the TeamPCP campaign that targeted multiple software development tools and services. Initial access is achieved through compromise during CI/CD pipelines, allowing them to harvest sensitive credentials, leading to substantial data exfiltration. The encryption process itself operates with a high potential for data loss due to a flaw in their encryption methodology, which inadvertently renders large portions of encrypted files unrecoverable. The Vect encryption routine employs the ChaCha20 algorithm but fails to provide message integrity protection, further destabilizing the viability of victim recovery efforts. Vect’s operational techniques include disabling security mechanisms before executing their ransomware, terminating protective services, and conducting thorough system reconnaissance to maintain an effective foothold. They perform lateral movement through methods that masquerade as legitimate system operations, using scheduled tasks to escalate privileges and propagate throughout networks. Their impact extends across various sectors, with notable concentrations of victims located in the United States and Brazil, while the technology sector suffers the most significant breaches. To defend against Vect ransomware, organizations are advised to promptly rotate any potentially compromised credentials and implement stringent network defenses, especially against Tor traffic, where Vect maintains its command-and-control infrastructure. Monitoring for specific behaviors associated with Vect operations, along with rigorous logging and alerting for unusual system modifications, is essential for detection and prevention. Finally, maintaining immutable backups and following best practices for patch management and security configurations can mitigate the risks associated with this ransomware threat.

Vect ransomware emerges as major threat with broken encryption that acts as wiper, mass BreachForums recruitment of 323k affiliates, and partnership with TeamPCP supply chain attackers. Key technical details: • ChaCha20 implementation flaw makes large files (>128KB) unrecoverable - only final nonce stored, first 3 chunks permanently destroyed • C binaries for Windows/Linux/ESXi with libsodium, "DEVMAN 3.0" strings suggest Devman rebrand • Lateral movement via "DM" prefixed scheduled tasks over CIM, matches Devman naming convention • TeamPCP partnership feeds access from Trivy/KICS/LiteLLM supply chain compromises (March 2026) Attack methodology: • Initial access through compromised CI/CD credentials from TeamPCP campaign affecting 1000 enterprises • ESXi targeting: powers down VMs before encrypting VMDK files, amplifying impact across hosted workloads • Evasion: disables Defender, terminates EDR agents, forces safe mode boot via registry modification • Intermittent encryption of 4x 32KB chunks at 0/25/50/75% file offsets - catastrophic nonce reuse bug DFIR artifacts: • PowerShell command: Set-MpPreference -DisableRealtimeMonitoring $true • Registry keys: SafeBoot Minimal/Network modifications • Scheduled tasks: "DM" 4 random uppercase letters • File patterns: .vect extension, 4x 32KB writes at specific offsets Hunt for "DM" prefixed tasks, SafeBoot registry changes, and monitor CI/CD environments for TeamPCP IOCs. #DFIR_Radar

鍵を入手しても一部のファイルを完全には戻せないランサムウェア「VECT」について、拡張子「[.]vect」が暗号化完了を意味しないことを含むWindows版の実装解析が報告されています。以前共有した、128KB超のファイルが復号不能になる設計上の欠陥（4月末に紹介）に加え、32KB超〜128KB以下のファイルでは読み込み処理のバッファ不足で暗号化が成立せず、中身は平文のまま残るケースがあるとされます。暗号化よりリネームが先に行われるため、平文・一部暗号化・破損が同じ「[.]vect」拡張子で混在しうるとのこと。 ランサムウェアとして設計されたコードの実装ミスが、結果的にデータ破壊（ワイパー）に近い被害を広げている事例です。鍵を入手できても大容量データが戻らないうえ、被害ファイルの状態が一様でないため、復旧に向けた被害の切り分け自体が困難になる点が改めて整理されています。 【要点の整理】 ・暗号化の前に拡張子を「[.]vect」へ書き換える処理順のため、「[.]vect」は処理対象になった印にすぎず、平文のまま・一部改変・書き込み途中の破損が混在。拡張子から暗号化の成否は判断できないとの指摘 ・中程度（32KB超〜128KB以下）ファイルの不具合は、ファイル全体を読み込もうとするのにバッファが32KB分しかない不整合に起因。暗号化処理が成立せず、リネームと末尾12バイトの不要データ付加だけで中身は平文のまま残るケースがあるとされる。128KB超を対象とする既知のnonce消失とは別系統の実装不具合 ・暗号化スレッドがファイル名用と読み込み用のバッファを共有したまま並行動作し、あるスレッドの処理を別スレッドが上書きして破損やファイル名の不整合を招きうる競合状態もMorphisecの解析で指摘されている ・大容量（128KB超）ファイルは4分割され、各先頭の32KBを別々の使い捨て値（nonce）で暗号化するが、末尾に残すのは最後のnonceのみで先頭3つ分が失われる。攻撃者が鍵を持っていても戻せない、Check Point Researchが先に指摘した設計欠陥で、ファイルに残る復元用データも末尾12バイトのみと乏しい ・こうして「[.]vect」は未暗号化・正常に暗号化・大容量で一部のみ・競合で破損と状態がまちまちになり、攻撃者自身の復号ツールも汎用ツールも一律には戻せない。解析対象はVECT 2.0のWindows 64bit検体（DEVMAN 3.0を名乗る同系統ビルドとも比較）。Windows実装の問題はJUMPSECも先行して報告しており、今回のMorphisecの記事はrename先行や共有バッファの競合を含め整理した形 詳細は以下を参照： morphisec.com/blog/vect-rans…

Foxhole letting me larp as a space marine while wearing the armored uniform. Devman is good

On January 15th, after discussing PC specs, the conversation turns personal - giving us insight into "quant" and his life "zeta88" brings Devman back into the conversation. We also look forward to speaking about him in the future too ;)

On January 12th, Devman is causing frustration for the group. Potentially looks like an affiliate/member left The Gentlemen for Devman?

A little thread exposing screenshots comms from the Gentlemen Leaks. These provide super interesting insight into the inside operations of successful RaaS groups. Everything from aspects of operators personal lives, their TTPs, and victims. All images shared are from the Rocket[.Chat leak We even discovered in March they attempted to send flowers to a UK-based victim.... On 28th Feb, they recognise they're "top 2" on ransomware.live Devman has gone ;)🚓 Translation of zeta88's first message: "In short, Devman was either taken in, for health reasons, or because of a rebranding—it all disappeared. And we're top 2 on RansomLive based on statistics, but not based on profit, I think." We can see a @GangExposed tweet shared by The Gentlemen, alongside the ransomware.live stats

Threat actors don't send warning shots. Analyst1 has published a full threat actor profile on The Gentlemen - a double-extortion ransomware operation active since July 2025, assessed with medium-high confidence to be Russian-speaking in origin and linked to the Qilin and DevMan ransomware ecosystems. What makes this group stand out: → 90–93% affiliate revenue splits — among the highest seen in the RaaS ecosystem → Dual extortion model: encryption-based and data-only → Pre-attack victim profiling using ZoomInfo and RocketReach → Active targeting of FortiGate, SonicWall, and Oracle EBS → Multi-channel pressure: spam campaigns, direct phone outreach, call recordings Victims span 70 countries across every major sector. No strict geographic or industry focus, this group goes where the access is. Full profile by @intel_anastasia linked below. 👇 analyst1.com/threat-actors/t… #ThreatIntelligence #Ransomware #CTI #Cybersecurity #Analyst1 #RaaS #IncidentResponse

always has devman

9 months makes a devman pull some intricate trick up on their sleeves

El grupo LockBit publicó 180 gb de información robada a la Clínica Dávila por otro actor malicioso conocido como Devman, que hoy está siendo buscado por la Interpol. Desde la institución afirman haber identificado la información que fue sustraída. 👇 interferencia.cl/articulos/h…

🚨🇨🇱¿El Ransomware LockBit 5.0 publica a la clínica Dávila? ¿Devman Vendió los datos? #Chile #ciberseguridad #databreach security-chu.com/2026/03/loc…

Ex miembro de Conti, ahora conocido como "Devman", añadido a la lista de buscados de Interpol. databreaches.net/2026/01/16/…

** Ahora la pregunta que surge: ¿La Clínica Dávila ha notificado individualmente a cada paciente sobre el ataque que sufrió por parte de Devman en diciembre pasado?  Si eres paciente de esa clínica y crees que tus datos pudieron haber quedado expuestos en esta brecha, puedes contactarme directamente en mis redes sociales.

🚨🇨🇱Lockbit 5.0 publicó toda la información de la clínica Dávila (davila.cl) recordemos que esta entidad médica fue atacada por el ransomware devman en diciembre pasado, al parecer devman vendió cierta parte de datos a lockbit. #ciberseguridad #ransomware #Chile #databreach security-chu.com/2026/03/loc…

Qilin is supposed to be the market leader this year. But are they padding their numbers? 📉 We've noticed a strange pattern: Recent victims posted by Qilin have already been leaked by other actors like The Gentleman and Devman. For a group with this volume of activity, recycling victims is a major red flag. 🚩 Track the real-time data on our Free Dashboard: 🔗 Darkfeed.io #CyberCrime #Ransomware #Qilin #Infosec #BlueTeam

📈Tracking the pulse of ransomware in 2026—these are the groups leading the global attack landscape right now: 🔷Qilin – 215 attacks 🥇 🔷The Gentleman – 130 attacks 🥈 🔷CLOP – 116 attacks 🥉 🔷Akira – 98 attacks 🔷INC – 84 attacks 🔷Play – 76 attacks 🔷Sinobi – 71 attacks 🔷Devman – 54 attacks 🔷NightSpire – 46 attacks 🛡️ Stay ahead of ransomware threats. Get real-time updates, dashboards, and victim data on our platform: 👉 DarkFeed.io #CyberSecurity #Ransomware #ThreatIntelligence #InfoSec #CyberAwareness #Cyber #SOC

暴露型ランサムウェア攻撃のデータをまとめた統計レポート【2026年2月号(2026年1月集計分)】を公開しました。 登録等不要＆PDFダウンロード無償、ランサムウエア脅威の最新動向の把握にご活用ください（全59ページ）。 👉日本の被害組織の確認数は11件となっています。 【今月のハイライト】 2026年1月下旬、新興ランサムウェアグループ「0APT」が出現し、リークサイトへの被害組織の掲載を開始しました。その掲載ペースは異常で、出現からわずか数日で71件、2月16日時点では382件に達しています。 現在、暴露型ランサムウェアの中で最も多くの被害組織を掲載しているのはQilin（Agenda）ですが、その単月最大が205件であることを踏まえると、0APTの掲載数がいかに突出しているかがわかります。なお、それらの中には日本の大手企業を含む国内組織19件への攻撃の主張も含まれています。 しかし、この急激な台頭とは裏腹に、0APTの実態には強い疑義が持たれています。 掲載された被害組織には特定困難なものが多数含まれ、窃取データのダウンロードリンクが機能しない、被害組織のページが突然削除されるなど、不自然な挙動が繰り返し観測されています。こうした状況から、掲載数を水増しすることでRaaSプログラムへの参加者を集め、参加費を詐取する目的のグループではないかとの見方も出ています。 ただし、0APTの検体にはファイル暗号化機能やTorサイトへの誘導が確認されており、一定の攻撃能力を有している点は軽視できません。 たとえ掲載情報の多くが虚偽であったとしても、リークサイトへの掲載自体が風評被害や対応コストを生じさせ、事実関係が不明なまま対応を迫られる事態を招き得ます。 こうした新たな脅威に備え、平時から対応方針を整備し、内部ログ等の証跡に基づいて迅速に事実関係を検証できる体制を構築しておくことが重要です。 ※以降は全体の各集計値です。 【監視対象のランサムウェア攻撃グループ】 ---------------- 攻撃グループ数 (1月)：300グループ (前月292グループ) 活動グループ数 (1月)：57グループ (前月58グループ) 【被害組織件数 (1月)】 ---------------- リークサイト掲載数：826件 (前月比約2%減：12月は846件) 日本関連組織数 (公表含)：11件 (前月比約45%減：12月は20件) ▼1月のランサムウェア攻撃グループ掲載数 TOP10： ---------------- 1. Qilin (Agenda) (掲載数：112件) 2. CL0P (CLOP) (掲載数：89件) 3. AKIRA (掲載数：74件) 4. 0APT (掲載数：71件) 5. Sinobi (掲載数：58件) 6. INC Ransom (掲載数：45件) 7. The Gentlemen (掲載数：43件) 8. PLAY (掲載数：33件) 9. DEVMAN 2.0 (掲載数：26件) 10. LYNX (掲載数：26件) ---------------- 我々CIGのマンスリーレポートでは、毎月、こうした暴露型ランサムウェアグループの活動状況と統計データを網羅的にまとめています。最新の脅威動向の把握にぜひお役立てください。 ▼レポートはコメント先から

📈Tracking the pulse of ransomware in 2026—these are the groups leading the global attack landscape right now: 🔷Qilin – 202 attacks 🥇 🔷CLOP – 116 attacks 🥈 🔷The Gentleman – 99 attacks 🥉 🔷Akira – 93 attacks 🔷INC – 74 attacks 🔷Sinobi – 71 attacks 🔷Play – 66 attacks 🔷Devman – 54 attacks 🔷Lockbit – 41 attacks 🛡️ Stay ahead of ransomware threats. Get real-time updates, dashboards, and victim data on our platform: 👉 DarkFeed.io #CyberSecurity #Ransomware #ThreatIntelligence #InfoSec #CyberAwareness #Cyber #SOC

lol “oh no! I spawn with slightly less ammo! There’s no way for me to fix this Devman bad!” *The humble supply pack/Laser weapons and. melee”