Uma nova variante de ransomware chamada VECT 2.0 está levantando sérias preocupações entre profissionais de segurança, e por um motivo perturbador: mesmo que uma vítima pague o resgate, o descriptografador do atacante pode não restaurar completamente os arquivos. Isso não é uma falha típica ligada a defesas fracas ou erro da vítima. O dano, em muitos casos, está embutido diretamente no design do malware e deixa as vítimas com arquivos quebrados que não podem ser recuperados limpa.
Descoberta e escopo da ameaça
O VECT 2.0 é um ransomware baseado em Windows de 64 bits que visa dados empresariais, incluindo documentos, PDFs, arquivos compactados, backups, bancos de dados e discos virtuais. Ao contrário de variantes que visam tipos específicos de arquivos, ele percorre caminhos acessíveis e pula uma lista de exclusão curta, o que significa que uma ampla gama de arquivos importantes está dentro de seu escopo. O malware faz parte de uma família mais ampla, com builds relacionados também identificados sob a marca DEVMAN 3.0.
Os pesquisadores da Morphisec analisaram uma amostra do VECT 2.0 em Windows em detalhes, descobrindo como o design do malware funciona contra a recuperação da vítima. Eles descobriram que o VECT pode deixar arquivos renomeados, parcialmente criptografados ou estruturalmente quebrados de maneiras que derrotam até mesmo a ferramenta de recuperação do próprio atacante.
Flaw no design do descriptografador
A Morphisec disse em um relatório compartilhado com a Cyber Security News que a falha se estende bem além de um bug de perda de nonce anteriormente conhecido documentado pela Check Point Research. Uma das descobertas mais alarmantes é que o VECT renomeia um arquivo antes de começar a criptografá-lo. O malware anexa a extensão .vect primeiro e depois abre o arquivo para modificar seu conteúdo.
Isso significa que um arquivo com a extensão .vect não é necessariamente criptografado de todo — pode ser texto simples ou apenas parcialmente alterado. Esse detalhe torna a recuperação desafiadora, já que a extensão não pode ser tomada como prova do que aconteceu com qualquer arquivo dado.
O malware também armazena quase nenhum metadado junto com os arquivos criptografados que poderia auxiliar na recuperação. Ele anexa apenas um trailer de 12 bytes segurando o último nonce de criptografia da operação, sem campo de versão, sem tamanho original do arquivo e sem informação de chunk. Essa pegada básica torna quase impossível para qualquer descriptografador reconstruir o que o malware realmente fez em cada arquivo.
Impacto e alcance
Para arquivos maiores que 128 KB, o VECT divide o conteúdo em quatro seções e criptografa um bloco de 32 KB no início de cada um usando quatro chaves diferentes. Apenas a chave final é salva no disco quando o processo termina. Isso significa que três dos quatro blocos criptografados estão permanentemente fora do alcance do descriptografador embutido, porque os dados necessários para reverter eles nunca são retidos.
A Morphisec também descobriu uma incompatibilidade de tamanho de buffer no caminho de criptografia de passagem única. Arquivos entre 32 KB e 128 KB podem entrar em um caminho de código onde o buffer de destino é pequeno demais para os dados de entrada. Dependendo do comportamento em tempo de execução, o arquivo pode ser renomeado sem criptografia ocorrendo, falhar no meio do caminho ou terminar em um estado inconsistente que não pode ser reparado limpa.
Concorrência e falhas de processamento
O VECT usa várias threads de trabalho para processar arquivos ao mesmo tempo, mas os buffers que essas threads dependem para caminhos de arquivo e leituras de conteúdo são compartilhados globalmente entre todos os trabalhadores. Quando duas threads lidam com arquivos diferentes ao mesmo tempo, uma pode sobrescrever dados de caminho ou conteúdo que outro trabalhador ainda está usando ativamente.
Essa condição de corrida significa que um único incidente do VECT pode produzir arquivos em vários estados muito diferentes. Um arquivo pode ser apenas renomeado, outro totalmente criptografado e um terceiro deixado parcialmente modificado de uma maneira que nenhuma das partes pode reverter limpa.
Medidas de mitigação recomendadas
Dados esses riscos, as equipes de segurança são fortemente encorajadas a implantar soluções de prevenção-primeiro que podem parar o ransomware antes que a criptografia comece. A proteção comportamental de endpoint é muito melhor adequada para capturar essa ameaça cedo na cadeia. Uma vez que os arquivos tenham sido processados pelo VECT, mesmo pagar o resgate não oferece garantia de recuperação completa.
Os indicadores de comprometimento (IoCs) listados no relatório da Morphisec não incluem hashes de arquivo específicos, endereços IP, domínios de comando e controle ou URLs como IoCs tradicionais. O único artefato consistentemente associado à atividade do VECT 2.0 é a extensão de arquivo que ele anexa durante o processamento, notada abaixo para caça a ameaças e triagem.
O que os CISOs devem fazer imediatamente
As organizações devem priorizar a detecção comportamental e a prevenção de execução de código. Monitorar a criação de arquivos com a extensão .vect é crucial, mas não é suficiente, pois a extensão pode ser adicionada sem criptografia real. A análise de logs de sistema e a verificação de integridade de arquivos são essenciais para identificar a atividade do VECT antes que o dano se torne irreversível.
Perguntas frequentes
É seguro pagar o resgate? Não. O design do malware significa que o descriptografador do atacante pode não funcionar corretamente, deixando os dados corrompidos mesmo após o pagamento.
Como identificar a infecção? Procure por arquivos com a extensão .vect e verifique se o conteúdo foi realmente modificado ou apenas renomeado.
Qual a melhor defesa? Soluções de prevenção de ransomware baseadas em comportamento e backups imutáveis são as melhores defesas contra essa variante.