Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Ransomware VECT 2.0

Ransomware VECT 2.0

Por Mezo em Ransomware
Traduzir Para:

A operação cibercriminosa conhecida como VECT 2.0 se apresenta como um ransomware, mas análises técnicas mostram um comportamento muito mais próximo ao de um programa de limpeza de dados. Uma falha grave na implementação da criptografia em variantes para Windows, Linux e ESXi torna a recuperação de arquivos impossível, mesmo para os operadores por trás dos ataques.

Para arquivos maiores que 131 KB, que incluem a maioria dos dados críticos para empresas, o malware não oferece criptografia recuperável. Em vez disso, ele destrói permanentemente os dados necessários para a restauração. Consequentemente, o pagamento do resgate não oferece uma solução viável para a recuperação dos dados.

Em qualquer incidente VECT 2.0, a negociação não deve ser considerada uma estratégia de remediação. Não existe um decodificador funcional a ser entregue, pois as informações necessárias para construí-lo são eliminadas durante a execução. As prioridades defensivas devem se concentrar em backups offline, planos de recuperação validados, contenção rápida e resiliência dos negócios.

Uma operação crescente de RaaS com parcerias criminosas

O VECT foi lançado originalmente como um programa de Ransomware como Serviço (RaaS) em dezembro de 2025 e, desde então, mudou de nome para VECT 2.0. Seu portal na dark web anuncia o modelo "Exfiltração / Criptografia / Extorsão", sinalizando uma abordagem de tripla extorsão.

Segundo informações, novos afiliados devem pagar uma taxa de entrada de US$ 250 em Monero (XMR). No entanto, candidatos de países da Comunidade de Estados Independentes (CEI) estão isentos, o que sugere um recrutamento direcionado a essa região.

O grupo também firmou parcerias com o BreachForums e o coletivo de hackers TeamPCP. Essa cooperação parece ter como objetivo simplificar as operações de ransomware, reduzir as barreiras para novos afiliados e usar dados roubados anteriormente como arma para ataques futuros.

A combinação de roubo de credenciais na cadeia de suprimentos, operações organizadas de afiliados e mobilização criminosa baseada em fóruns reflete um ecossistema de ransomware cada vez mais industrializado.

O número de vítimas permanece baixo apesar das declarações ousadas.

Apesar da marca agressiva, o site de vazamentos do VECT 2.0 lista apenas duas vítimas, ambas supostamente comprometidas por meio de ataques à cadeia de suprimentos relacionados ao TeamPCP.

Inicialmente, o grupo alegou usar o ChaCha20-Poly1305 AEAD, um método de criptografia autenticada mais robusto. No entanto, uma análise técnica revelou o uso de uma cifra não autenticada mais fraca e sem proteção de integridade, o que levanta sérias dúvidas sobre sua capacidade e credibilidade.

A falha de criptografia que destrói dados

A falha mais crítica do malware reside na forma como ele processa arquivos maiores que 131.072 bytes. Em vez de criptografar com segurança os dados recuperáveis, ele divide cada arquivo grande em quatro partes e criptografa cada seção usando nonces de 12 bytes gerados aleatoriamente.

Apenas o nonce final é armazenado com o arquivo criptografado. Os três primeiros nonces, necessários para descriptografar a maior parte do arquivo, são gerados, usados uma única vez e descartados permanentemente. Eles não são salvos localmente, gravados no registro ou enviados ao operador.

Como o método ChaCha20-IETF exige tanto a chave correta de 32 bytes quanto o nonce correspondente para a descriptografia, os três primeiros quartos de cada arquivo afetado tornam-se irrecuperáveis. Isso significa que o VECT 2.0 funciona operacionalmente como um programa de limpeza destrutivo oculto por trás das mensagens do ransomware.

Variante do Windows: Recursos avançados, execução fraca

A versão para Windows é a mais completa em termos de recursos e destina-se a:

  • Unidades locais, mídias removíveis e armazenamento de rede acessível.
  • 44 ferramentas de segurança e depuração através de verificações anti-análise
  • mecanismos de persistência do Modo de Segurança
  • Modelos de script de execução remota para movimentação lateral

Quando executado com a opção --force-safemode, o malware configura a próxima reinicialização no Modo de Segurança do Windows e adiciona o caminho do seu executável ao Registro do Windows para que seja executado automaticamente após a reinicialização em um ambiente de segurança reduzida.

Curiosamente, embora a variante para Windows contenha mecanismos de detecção e evasão de ambiente, essas rotinas supostamente nunca são chamadas. Isso pode permitir que os defensores analisem amostras sem acionar respostas furtivas.

As variantes do Linux e do ESXi ampliam a superfície de ameaças.

A versão para ESXi realiza geofencing e verificações anti-depuração antes de iniciar a criptografia. Ela também tenta movimentação lateral via SSH. A variante para Linux compartilha a mesma base de código que o exemplo para ESXi, mas inclui menos recursos.

Esse suporte multiplataforma confere ao VECT 2.0 um amplo potencial de direcionamento para ambientes corporativos, especialmente aqueles que dependem de virtualização e sistemas operacionais mistos.

Uso incomum de geofencing pela CEI levanta questionamentos.

Antes de criptografar os sistemas, o malware verifica se está sendo executado em um país da CEI. Em caso afirmativo, a execução é interrompida. Notavelmente, a Ucrânia ainda consta dessas exclusões, um comportamento incomum, visto que muitos grupos de ransomware removeram a Ucrânia das listas de isenção da CEI após 2022.

Duas explicações prováveis foram propostas:

  • O malware pode ter sido parcialmente gerado usando modelos de IA treinados com dados geopolíticos desatualizados.
  • Os desenvolvedores podem ter reutilizado um código-fonte de ransomware antigo sem atualizar a lógica regional.

Sinais de operadores inexperientes

Embora a VECT 2.0 se apresente como uma ameaça multiplataforma refinada, com recrutamento de afiliados, parcerias na cadeia de suprimentos e marca profissional, a execução técnica conta uma história diferente.

A avaliação de segurança sugere que os operadores são mais provavelmente agentes de ameaças novatos do que desenvolvedores experientes de ransomware. A possibilidade de que partes do malware tenham sido produzidas ou auxiliadas por código gerado por IA não pode ser descartada.

Avaliação de Segurança Executiva

O VECT 2.0 demonstra como um ransomware de aparência perigosa ainda pode apresentar falhas técnicas. Sua infraestrutura, parcerias e marca criam a imagem de uma organização criminosa séria, mas a falha no projeto de criptografia compromete totalmente o modelo de extorsão.

Para os defensores, a lição é clara: concentre-se na resiliência, backups, segmentação e resposta rápida a incidentes. Em um ataque VECT 2.0, o pagamento não compra a recuperação, apenas a destruição.

Tendendo

Mais visto

Carregando...