A equipe de pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, divulga análise sobre o grupo de ransomware VECT que indica uma falha estrutural capaz de inviabilizar a recuperação de dados mesmo após pagamento de resgate. A análise da CPR aponta que o malware destrói permanentemente arquivos de maior tamanho em vez de criptografá-los de forma reversível, o que elimina qualquer possibilidade de descriptografia.
Os arquivos afetados concentram ativos críticos de empresas, como imagens de máquinas virtuais, bancos de dados, backups e arquivos compactados. Na prática, o VECT atua como um software de destruição de dados acompanhado de nota de resgate, sem capacidade técnica de devolver o acesso às informações.
De acordo com Eli Smadja, gerente de grupo de pesquisas da Check Point Research, o comportamento do VECT altera o modelo econômico tradicional do ransomware. Para arquivos acima de 131 KB, que representam a maior parte dos dados corporativos relevantes, não existe chave de recuperação possível. A recomendação é direcionar esforços para resiliência, com backups offline, testes frequentes de restauração e contenção rápida de incidentes.
A análise identificou que a falha está presente em todas as versões do chamado ransomware VECT, incluindo variantes para Windows, Linux e VMware ESXi, e existe desde antes do lançamento público da versão 2.0, sem nunca ter sido corrigida. Na prática, o problema faz com que arquivos críticos sejam permanentemente destruídos, o que inviabiliza a recuperação de dados mesmo em cenários de pagamento de resgate.
Os pesquisadores também apontam inconsistências técnicas relevantes. Diferentemente do que divulgado pelo próprio grupo de ransomware, o VECT não utiliza o algoritmo ChaCha20-Poly1305 com autenticação. A implementação identificada é mais fraca e não oferece proteção de integridade. Recursos anunciados como modos de velocidade de criptografia e mecanismos de evasão não funcionam ou não são ativados durante a execução.
Apesar das falhas, o grupo de ransomware apresenta estratégia agressiva de expansão. O VECT estabeleceu parceria com o BreachForums e com o grupo TeamPCP, associado a ataques de cadeia de suprimentos contra ferramentas amplamente utilizadas por desenvolvedores. A iniciativa ampliou o acesso à plataforma de ransomware para milhares de afiliados de forma automatizada, criando uma base operacional em larga escala.
A equipe da CPR aponta que o código do VECT pode ter origem em versões antigas de ransomware anteriores a 2022 ou incluir trechos gerados com apoio de inteligência artificial (IA). Indícios como configurações de restrição geográfica desatualizadas indicam possível reutilização de código antigo, em vez de desenvolvimento próprio consistente.
Para organizações impactadas, a orientação é não realizar pagamento de resgate, uma vez que não há mecanismo funcional de recuperação para arquivos críticos. A prioridade deve ser a restauração a partir de backups íntegros e a ativação imediata de protocolos de resposta a incidentes.
Para empresas que ainda não foram afetadas, o risco permanece elevado. O VECT mantém capacidade de exfiltração de dados e interrupção de sistemas, além de poder evoluir tecnicamente com correções futuras distribuídas pela mesma rede de afiliados já estabelecida. Empresas expostas a ataques recentes da cadeia de suprimentos associados ao TeamPCP devem priorizar a rotação de credenciais e revisão de acessos.
