- Pesquisadores da Check Point Research identificaram uma falha de programação no VECT 2.0 que apaga as chaves de criptografia de arquivos acima de 128 KB, tornando inútil qualquer pagamento de resgate.
- O erro ocorre nas três versões analisadas e faz com que os arquivos sejam destruídos permanentemente, mesmo que a vítima pague.
- O VECT funciona como ransomware‑as‑a‑service, com afiliados; o grupo abriu o programa em dezembro de 2025 e teve vítimas no Brasil e na África do Sul em 2026.
- Parcerias com TeamPCP e BreachForums ampliaram o alcance, incluindo ataques de cadeia de suprimentos a ferramentas como Trivy, LiteLLM e Telnyx.
- O relatório também aponta outros problemas no código, como uso incorreto de ChaCha20‑Poly1305, implementação de XOR para ocultar código e gestão de threads falha, com parâmetros de criptografia fixos.
O ransomware VECT 2.0 apresenta uma falha de programação que destrói arquivos mesmo após o pagamento do resgate. Pesquisadores da Check Point Research (CPR) identificaram que, para grandes arquivos, a chave de criptografia necessária não é salva corretamente, tornando inúteis as tentativas de recuperação.
Segundo a CPR, o malware utiliza um modelo ransomware-as-a-service, com desenvolvedores oferecendo a ferramenta a afiliados em troca de parte do lucro. A falha foi encontrada em todas as três versões analisadas pelo laboratório de segurança.
A descoberta mostra que, para arquivos acima de 128 KB, o conteúdo é dividido em quatro partes e cada uma recebe uma chave distinta. Contudo, apenas a chave da última parte é armazenada; as demais são sobrescritas e apagadas, impossibilitando a reconstrução das informações.
Como consequência, três quadrantes de cada arquivo grande tornam-se inacessíveis de forma permanente. Documentos, planilhas, bancos de dados e backups podem ser afetados, enquanto itens menores que passam de 128 KB tendem a ficar criptografados corretamente, mas com impacto limitado.
A CPR confirmou que a falha está presente nas versões para Windows, Linux e ESXi, desde a primeira detecção do malware em campo, antes mesmo da versão 2.0. O quebranto não foi corrigido até o momento.
Além das falhas nas chaves, a análise aponta problemas adicionais no código. Campos de criptografia, apresentados como opções de velocidade, não são obedecidos pelo malware, que usa parâmetros fixos. O uso de XOR para ocultar partes do código também é inadequado, deixando trechos expostos.
O relatório indica ainda que o gerenciador de threads gera centenas de tarefas simultâneas, o que pode degradar o desempenho. A CPR observa discrepâncias entre o que o grupo promete e o que de fato funciona na prática.
O VECT se apresenta com aparência profissional, com um painel de controle funcional e parcerias anunciais, como a com BreachForums, que facilitou o acesso de membros ao ransomware. Contudo, a avaliação técnica revela falhas estruturais graves.
Em relação à operação, a CPR destacou que as falhas podem ser corrigidas em futuras versões, mas, por ora, vítimas que pagam o resgate não recuperam os dados, pois as chaves foram destruídas durante o ataque. A cadeia de distribuição já está montada para uma possível escalada dos ataques.
Entre na conversa da comunidade