Uma pesquisa da empresa de segurança Check Point Research identificou uma nova cepa de ransomware que, sem querer, está afetando negativamente os próprios hackers: ela destrói os arquivos que deveria somente bloquear para cobrar resgate, impossibilitando a recuperação. O malware em questão é o VECT 2.0, do tipo ransomware-as-a-service (RaaS), que surgiu originalmente em um fórum cibercriminoso russo em 2025.
Técnica defeituosa e consequências
Uma falha no código faz com que o programa "destrua" qualquer arquivo maior do que 128 kb (kilobytes), um tamanho bastante pequeno, menor do que qualquer anexo de e-mail. Quando o VECT encripta o arquivo, "bagunçando" suas informações, ele precisa salvar um nonce criptográfico, um código secreto que permite a desencriptação posterior. Para arquivos grandes, o ransomware gera quatro códigos.
Um erro na programação, no entanto, faz com que o programa siga sobrescrevendo cada código com um novo no mesmo espaço: é como escrever quatro combinações diferentes em um único papel e manter só a última. No final, três dos quatro códigos-chave somem para sempre, ou seja, é impossível usá-los como a senha de desencriptação.
Impacto nas vítimas e nos criminosos
Tanto os hackers quanto os pesquisadores de segurança e vítimas nunca mais terão acesso ao arquivo, que fica efetivamente destruído. Pagar o resgate é inútil, o que também afeta os criminosos negativamente. A Check Point encontrou erros amadores no código do ransomware, desde ferramentas anunciadas que não funcionam, funções de evasão de segurança que estão lá, mas não foram ligadas, e técnicas de escape que se cancelam sem querer.
Parceria com comunidades de hacking
O preocupante nesse caso é que, apesar da incompetência técnica, o VECT tem um alcance grande: há uma parceria com BreachForums, uma das maiores comunidades hackers da internet, que dá a todos os usuários registrados acesso grátis ao kit de ferramentas de ransomware. Ataques do tipo têm evoluído a ponto de até incluírem violência física.
Medidas de mitigação recomendadas
As organizações devem adotar as seguintes medidas para se proteger contra ameaças como o VECT 2.0:
- Manter backups offline e imutáveis de dados críticos para garantir recuperação em caso de ataque.
- Implementar soluções de detecção de malware baseadas em comportamento e IA para identificar anomalias no código.
- Realizar treinamentos de conscientização de segurança para usuários identificarem tentativas de phishing e engenharia social.
- Monitorar tráfego de rede para detectar comunicações com servidores de comando e controle (C2).
- Aplicar patches de segurança em todos os sistemas e dispositivos para reduzir a superfície de ataque.
Implicações para a indústria de segurança
Este incidente destaca a importância de auditorias de código e testes de segurança rigorosos, mesmo em ferramentas de cibercrime. Para as empresas, a lição é clara: a segurança de dados deve ser uma prioridade absoluta, com backups robustos e planos de resposta a incidentes bem definidos. A falha técnica do VECT 2.0 não deve ser vista como uma solução, mas como um lembrete de que a segurança é um processo contínuo.
O que fazer agora
Os CISOs devem revisar seus planos de recuperação de desastres e garantir que os backups estejam isolados da rede principal. Além disso, é crucial monitorar fóruns de cibercrime para identificar novas variantes de ransomware e adaptar as defesas accordingly. A transparência e a colaboração entre empresas de segurança e organizações são fundamentais para combater essas ameaças.