O Brasil é um dos principais alvos de um novo grupo de ransomware que amplia rapidamente sua atuação global, com foco em empresas de educação, saúde, tecnologia, manufatura e energia. Identificada no fim de 2025 e com crescimento acelerado ao longo de 2026, a operação conhecida como Vect 2.0 já demonstra elevado nível de sofisticação técnica e capacidade de causar paralisações severas em ambientes corporativos, segundo boletim produzido pela Vision Cybersecurity, spin-off da ISH Tecnologia.
Segundo a empresa, o grupo opera sob o modelo conhecido como “Ransomware-as-a-Service” (RaaS), no qual afiliados utilizam uma infraestrutura pronta para conduzir ataques. A entrada para novos operadores custa cerca de 250 dólares em criptomoedas, reduzindo significativamente a barreira técnica para a atuação de criminosos digitais. “Trata-se de um ecossistema altamente profissional e escalável, no qual mesmo agentes com pouco conhecimento técnico podem realizar ataques complexos e altamente destrutivos”, afirma Hugo Santos, Diretor de Inteligência de Ameaças da Vision.
O boletim aponta que a América Latina se consolidou como alvo prioritário das ações do grupo, em especial Brasil e México. Um dos principais diferenciais do Vect 2.0 é sua capacidade de atingir simultaneamente ambientes Windows, Linux e VMware ESXi — tecnologia amplamente utilizada para virtualização de servidores corporativos. Na prática, isso significa que um único ataque pode comprometer múltiplos sistemas críticos ao mesmo tempo. Fora da nossa região, Estados Unidos, Índia, África do Sul e Egito também aparecem como alvos visados.
Além da criptografia de arquivos e da extorsão financeira, o grupo também realiza roubo prévio de informações sensíveis, aumentando a pressão sobre as vítimas mesmo em cenários em que existam backups disponíveis.
No entanto, Santos chama atenção para o comportamento destrutivo observado em determinadas execuções do malware. Segundo o especialista, o Vect 2.0 apresenta falhas críticas em seu processo de criptografia que podem tornar arquivos permanentemente irrecuperáveis. Com isso, o impacto da ameaça ultrapassa o modelo tradicional de ransomware e se aproxima do comportamento de um “wiper”, malware desenvolvido para destruição definitiva de dados.
“Isso altera completamente a lógica tradicional dos ataques de ransomware. Em determinados cenários, nem mesmo o pagamento do resgate pode garantir a recuperação dos dados”, comenta.
A Vision também identificou o uso de credenciais roubadas, VPNs comprometidas, acessos remotos expostos e campanhas de phishing como principais vetores de entrada utilizados pelo grupo. O malware ainda emprega técnicas para dificultar a detecção, como desativação de antivírus, exclusão de backups e limpeza de logs do sistema.
Diante desse cenário, a Vision recomenda que organizações reforcem medidas preventivas, como autenticação multifator, segmentação de rede, restrição de acessos remotos expostos e adoção de backups offline e imutáveis.
“Modelos tradicionais baseados apenas em recuperação e negociação já não são suficientes diante de ameaças com potencial destrutivo. A capacidade de detectar movimentações suspeitas precocemente e garantir estratégias resilientes de backup passa a ser essencial para a continuidade operacional das empresas”, conclui Santos.
