VECT 2.0: O Ransomware que Vira Wiper e Destrói Arquivos Maiores que 128 KB
Pesquisadores da Check Point alertam que o ransomware VECT 2.0, apesar de ser comercializado como RaaS, funciona na prática como um wiper. Devido a um erro crítico na implementação da criptografia, a malware destrói irreversivelmente arquivos maiores que 128 KB, tornando a recuperação impossível até mesmo para os próprios atacantes. Este artigo detalha a falha e suas implicações devastadoras.
MundiX News·03 de maio de 2026·5 min de leitura·👁 5 views
Pesquisadores da Check Point alertaram que o ransomware VECT 2.0, na prática, funciona como um wiper. Devido a um erro na implementação da criptografia, o malware destrói irreversivelmente arquivos maiores que 128 KB, e nem mesmo os próprios hackers conseguirão restaurá-los.
VECT 2.0 é anunciado como uma plataforma RaaS (ransomware-as-a-service) com um programa de parceria. Os operadores do malware procuram "parceiros" através do BreachForums, distribuindo chaves de acesso em mensagens privadas. Além disso, de acordo com um relatório publicado no mês passado pelo Data Security Council of India (DSCI), novatos pagam 250 dólares americanos em Monero, mas candidatos de países da CEI (Comunidade dos Estados Independentes) são isentos de pagamento.
Recentemente, o grupo anunciou uma parceria com a TeamPCP – um grupo de hackers associado a ataques a cadeias de suprimentos como Trivy, LiteLLM, Telnyx e a Comissão Europeia. Aparentemente, os parceiros do VECT deveriam usar essas comprometimentos para implantar o ransomware na infraestrutura das vítimas.
No entanto, como descobriram os pesquisadores da Check Point, as versões do malware VECT 2.0 para Windows, Linux e ESXi contêm o mesmo bug crítico. O malware divide cada arquivo grande em quatro partes e as criptografa independentemente, gerando um nonce de 12 bytes para cada bloco. Mas todos os valores são gravados no mesmo buffer de memória, de modo que cada novo nonce sobrescreve o anterior.
Como resultado, apenas o último nonce é gravado no disco. Os três primeiros são perdidos: eles não são salvos no arquivo e não são enviados aos operadores. Como a descriptografia ChaCha20-IETF requer tanto a chave de 32 bytes quanto o nonce exato de 12 bytes, a recuperação das primeiras três quartos de todos os arquivos grandes se torna impossível.
Consequentemente, o VECT 2.0 não apenas criptografa, mas age como um wiper – destruindo aproximadamente 75% do conteúdo do arquivo. Ou seja, mesmo que o resgate seja pago, o decifrador não ajudará, pois os atacantes também não possuem as informações necessárias para restaurar os dados danificados.
Um arquivo "grande" para o malware é tudo o que excede 128 KB (131.072 bytes). Em um ambiente corporativo, praticamente tudo de valor se enquadra nesses limites: bancos de dados, discos de máquinas virtuais, backups, caixas de correio, documentos e planilhas. Como observam os especialistas, após um ataque real, nenhum dado importante sobreviverá.
Mesmo com essa falha crítica, o VECT 2.0 tenta parecer um projeto de ransomware maduro. A versão Windows do malware pode criptografar discos locais, removíveis e de rede, verifica a presença de 44 ferramentas de segurança e debuggers, se estabelece no sistema através do Safe Mode e contém modelos de scripts para movimentação lateral.
A variante ESXi, antes da criptografia, executa geofencing e verificações anti-debugging, e também tenta se espalhar via SSH. A versão Linux, por sua vez, usa a mesma base de código que a ESXi, mas possui um conjunto reduzido de funções.
Em seu relatório, os especialistas enfatizam separadamente que o geofencing do VECT parece estranho: o malware encerra a operação sem criptografar arquivos se detectar que está sendo executado em qualquer um dos países da CEI. No entanto, a Ucrânia também é adicionada à lista de exclusões, o que é raro em ataques após 2022. A Check Point acredita que isso pode indicar uma base de código antiga ou a geração de parte do código usando IA, treinada em dados desatualizados. Essa peculiaridade sugere que, apesar das tentativas de modernização, o VECT 2.0 ainda carrega vestígios de desenvolvimentos anteriores ou de uma estratégia de direcionamento regional específica, que pode não estar totalmente alinhada com o cenário geopolítico atual.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da Check Point alertaram que o ransomware VECT 2.0, na prática, funciona como um wiper. Devido a um erro na implementação da criptografia, o malware destrói irreversivelmente arquivos maiores que 128 KB, e nem mesmo os próprios hackers conseguirão restaurá-los.
VECT 2.0 é anunciado como uma plataforma RaaS (ransomware-as-a-service) com um programa de parceria. Os operadores do malware procuram "parceiros" através do BreachForums, distribuindo chaves de acesso em mensagens privadas. Além disso, de acordo com um relatório publicado no mês passado pelo Data Security Council of India (DSCI), novatos pagam 250 dólares americanos em Monero, mas candidatos de países da CEI (Comunidade dos Estados Independentes) são isentos de pagamento.
Recentemente, o grupo anunciou uma parceria com a TeamPCP – um grupo de hackers associado a ataques a cadeias de suprimentos como Trivy, LiteLLM, Telnyx e a Comissão Europeia. Aparentemente, os parceiros do VECT deveriam usar essas comprometimentos para implantar o ransomware na infraestrutura das vítimas.
No entanto, como descobriram os pesquisadores da Check Point, as versões do malware VECT 2.0 para Windows, Linux e ESXi contêm o mesmo bug crítico. O malware divide cada arquivo grande em quatro partes e as criptografa independentemente, gerando um nonce de 12 bytes para cada bloco. Mas todos os valores são gravados no mesmo buffer de memória, de modo que cada novo nonce sobrescreve o anterior.
Como resultado, apenas o último nonce é gravado no disco. Os três primeiros são perdidos: eles não são salvos no arquivo e não são enviados aos operadores. Como a descriptografia ChaCha20-IETF requer tanto a chave de 32 bytes quanto o nonce exato de 12 bytes, a recuperação das primeiras três quartos de todos os arquivos grandes se torna impossível.
Consequentemente, o VECT 2.0 não apenas criptografa, mas age como um wiper – destruindo aproximadamente 75% do conteúdo do arquivo. Ou seja, mesmo que o resgate seja pago, o decifrador não ajudará, pois os atacantes também não possuem as informações necessárias para restaurar os dados danificados.
Um arquivo "grande" para o malware é tudo o que excede 128 KB (131.072 bytes). Em um ambiente corporativo, praticamente tudo de valor se enquadra nesses limites: bancos de dados, discos de máquinas virtuais, backups, caixas de correio, documentos e planilhas. Como observam os especialistas, após um ataque real, nenhum dado importante sobreviverá.
Mesmo com essa falha crítica, o VECT 2.0 tenta parecer um projeto de ransomware maduro. A versão Windows do malware pode criptografar discos locais, removíveis e de rede, verifica a presença de 44 ferramentas de segurança e debuggers, se estabelece no sistema através do Safe Mode e contém modelos de scripts para movimentação lateral.
A variante ESXi, antes da criptografia, executa geofencing e verificações anti-debugging, e também tenta se espalhar via SSH. A versão Linux, por sua vez, usa a mesma base de código que a ESXi, mas possui um conjunto reduzido de funções.
Em seu relatório, os especialistas enfatizam separadamente que o geofencing do VECT parece estranho: o malware encerra a operação sem criptografar arquivos se detectar que está sendo executado em qualquer um dos países da CEI. No entanto, a Ucrânia também é adicionada à lista de exclusões, o que é raro em ataques após 2022. A Check Point acredita que isso pode indicar uma base de código antiga ou a geração de parte do código usando IA, treinada em dados desatualizados. Essa peculiaridade sugere que, apesar das tentativas de modernização, o VECT 2.0 ainda carrega vestígios de desenvolvimentos anteriores ou de uma estratégia de direcionamento regional específica, que pode não estar totalmente alinhada com o cenário geopolítico atual.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
