Imagine o seguinte: a sua empresa é alvo de um ataque de ransomware. Seus arquivos críticos são sequestrados, e os criminosos exigem um resgate para devolvê-los. Você, em um momento de desespero, decide pagar. Mas, em vez dos seus dados de volta, descobre que eles foram, na verdade, destruídos. Parece um pesadelo, certo? É exatamente isso que a Check Point Research (CPR) descobriu sobre um novo grupo de ransomware chamado VECT.
Uma análise minuciosa da CPR, divisão de inteligência de ameaças da Check Point Software, revelou que o VECT não é um ransomware comum. Longe de ser um sequestrador digital que criptografa e depois decifra, ele age como um verdadeiro "wiper", um destruidor de dados disfarçado. O mais chocante é que essa falha estrutural, que impede a recuperação mesmo após o pagamento, parece ser um componente intrínseco e não um acidente isolado.
A acusação central sobre o VECT
A grande questão é que, para arquivos maiores, especialmente os cruciais para qualquer empresa – estamos falando de máquinas virtuais, bancos de dados, backups e arquivos compactados – o VECT não consegue criptografá-los de forma reversível. Em vez disso, ele os destrói permanentemente. Isso significa que, independentemente do dinheiro desembolsado, a chance de ter os dados de volta é praticamente nula.
De acordo com Eli Smadja, gerente de grupo de pesquisas da Check Point Research, essa característica altera completamente o jogo do ransomware.
Para arquivos acima de 131 KB, que representam a maior parte dos dados corporativos relevantes, não existe chave de recuperação possível. A recomendação é direcionar esforços para resiliência, com backups offline, testes frequentes de restauração e contenção rápida de incidentes.
Ou seja, o malware age como um destruidor de informações que, por ironia do destino, vem acompanhado de uma nota de resgate. Ele finge ser um ransomware, mas na prática, funciona como um programa de apagamento de dados com uma demanda financeira.
Uma falha persistente e generalizada
A equipe da CPR não encontrou essa falha em apenas uma versão ou situação isolada. A análise identificou que o problema está presente em todas as variantes do VECT, incluindo aquelas desenvolvidas para Windows, Linux e até para ambientes de virtualização como VMware ESXi. O pior é que essa deficiência existe desde antes mesmo do lançamento público da versão 2.0 do ransomware e, até agora, nunca foi corrigida.
Isso levanta sérias dúvidas sobre a capacidade técnica dos desenvolvedores do VECT ou, o que é ainda mais alarmante, a possibilidade de que a destruição seja a intenção primária. Os pesquisadores notaram inconsistências técnicas significativas: o VECT não utiliza o algoritmo ChaCha20-Poly1305 com autenticação, como o próprio grupo criminoso anuncia. A implementação real é mais frágil e não oferece a proteção de integridade esperada, rendendo o processo de "criptografia" ineficaz para a recuperação de informações.
Recursos que foram anunciados, como modos de velocidade de criptografia e mecanismos de evasão, ou não funcionam, ou não são ativados durante a execução dos ataques. Essa fragilidade técnica é um alerta importante para as empresas, pois demonstra que, mesmo com a evolução das ameaças, a execução nem sempre é perfeita.
Expandindo o caos: A rede de afiliados do VECT
Apesar das suas falhas técnicas, o grupo por trás do VECT não para de crescer. Eles adotaram uma estratégia de expansão bastante agressiva, firmando parcerias com plataformas conhecidas no submundo digital, como o BreachForums, e o TeamPCP. Este último é um grupo associado a ataques contra cadeias de suprimentos de ferramentas frequentemente usadas por desenvolvedores.
Essa abordagem ampliou o alcance do VECT, permitindo que milhares de afiliados tivessem acesso à plataforma do ransomware de forma automatizada. Isso criou, na prática, uma base operacional massiva para os criminosos, aumentando exponencialmente o número de potenciais alvos.
A equipe da CPR, ao investigar o código do VECT, chegou à conclusão de que ele pode ter sido construído a partir de versões mais antigas de ransomwares (anteriores a 2022) ou, ainda, ter partes geradas com o auxílio de inteligência artificial. Alguns indícios, como configurações de restrição geográfica desatualizadas, sugerem a reutilização de código antigo em vez de um desenvolvimento totalmente original e consistente. Isso mostra como cibercriminosos também estão se utilizando de ferramentas de IA para orquestrar seus ataques, muitas vezes sem a devida sofisticação dos códigos.
O que fazer? A urgência da resiliência digital
Para as organizações que já foram impactadas pelo VECT, a mensagem da Check Point Research é clara: não pague o resgate. Como não há um mecanismo funcional para recuperar os arquivos críticos, o pagamento é dinheiro perdido, que apenas financia a atividade criminosa. A prioridade máxima deve ser a restauração dos sistemas a partir de backups íntegros e a ativação imediata dos protocolos de resposta a incidentes.
Já para as empresas que ainda não foram alvo, o risco é altíssimo. O VECT tem a capacidade de exfiltrar dados e interromper sistemas, e pode evoluir tecnicamente. Afinal, a rede de afiliados que ele construiu pode ser usada para distribuir correções ou novas versões ainda mais perigosas no futuro. A vigilância deve ser constante.
Organizações que recentemente sofreram ataques de cadeia de suprimentos ligados ao TeamPCP precisam imediatamente revisar credenciais e acessos, implementando medidas de segurança robustas. Soluções de prevenção, como as oferecidas pela Check Point, são cruciais para proteger ambientes Windows, Linux e ESXi contra todas as variantes atualmente conhecidas do VECT. No cenário atual, onde a fronteira entre ransomware e "wiper" se confunde, a única defesa real é uma estratégia de segurança proativa e bem arquitetada.