Um erro de programação no vírus sequestrador VECT 2.0 faz com que os arquivos das vítimas sejam destruídos de forma permanente durante o ataque. A descoberta é da Check Point Research (CPR), que analisou as três versões do ransomware e encontrou a mesma falha crítica em todas elas. 

Na prática, pagar o resgate não resolve nada, porque nem os próprios criminosos conseguem recuperar os dados. O VECT funciona no modelo ransomware-as-a-service (RaaS), basicamente uma franquia de crime digital em que os desenvolvedores cedem a ferramenta para afiliados realizarem os ataques em troca de uma parte do lucro.

O grupo estreou em dezembro de 2025, quando abriu o programa de afiliados em um fórum russo de cibercrime. As primeiras vítimas vieram em janeiro de 2026, uma empresa de engenharia na África do Sul e uma instituição de ensino superior no Brasil.

Em fevereiro de 2026, o grupo lançou a versão 2.0 do malware, compatível com sistemas Windows, Linux e servidores VMware ESXi – que são usados por empresas para hospedar máquinas virtuais.

Logo depois, o VECT anunciou uma parceria com o grupo TeamPCP, responsável por ataques de cadeia de suprimentos em março de 2026. Na ocasião, os criminosos infectaram pacotes de software populares entre desenvolvedores, como Trivy, LiteLLM e Telnyx, comprometendo empresas que usavam essas ferramentas. O VECT aproveitou as vítimas geradas por esses ataques para ampliar suas operações.

O grupo também firmou uma parceria com o BreachForums, fórum de vazamento de dados, e distribuiu chaves de acesso ao ransomware para todos os membros cadastrados. Esse modelo aberto é incomum no setor, onde a entrada normalmente depende de reputação ou pagamento de taxa.

O erro que transforma o ransomware em destruidor de dados

O funcionamento básico de um ransomware é simples. Ele criptografa os arquivos da vítima usando chaves matemáticas, disponibilizadas somente após o pagamento do resgate. Sem a chave, os dados ficam inacessíveis. O problema do VECT é exatamente aí.

Para arquivos acima de 128 KB, o malware divide o conteúdo em quatro partes e gera uma chave diferente para criptografar cada uma delas. Mas por um erro de programação, apenas a chave da última parte é salva.

As outras três são sobrescritas e apagadas no momento em que são geradas. Como essas chaves são valores aleatórios e imprevisíveis, é impossível recriá-las depois.

O resultado é que três quartos de cada arquivo grande ficam permanentemente inacessíveis. Isso vale para documentos de escritório, planilhas, bancos de dados, imagens de disco de máquinas virtuais e backups. Arquivos abaixo de 128 KB são criptografados corretamente, mas praticamente nenhum dado corporativo relevante se encaixa nesse tamanho.

A CPR confirmou que a falha existe nas versões para Windows, Linux e ESXi, e que estava presente desde a primeira versão do malware detectada em campo, antes mesmo do lançamento da versão 2.0. Nunca foi corrigida.

Outros erros encontrados no código

A falha nas chaves não é o único problema. A CPR identificou uma série de outros erros que mostram a distância entre o que o grupo promete e o que o malware realmente faz.

Os modos de velocidade de criptografia, chamados de fast, medium e secure nas versões Linux e ESXi, aparecem no painel de controle como opções para o operador. Mas o código lê essas escolhas e as ignora completamente. Todos os ataques usam os mesmos parâmetros fixos, independentemente do que o afiliado selecionar.

O VECT também tenta esconder partes do seu código usando uma técnica chamada XOR, basicamente uma operação matemática que embaralha os dados para dificultar a análise.

Na versão Linux, o código aplica essa operação duas vezes seguidas, o que cancela o efeito e deixa o texto original exposto. É como trancar uma porta com duas chaves iguais, a segunda destrava o que a primeira fechou.

O gerenciador de threads, mecanismo que define quantas tarefas o malware executa ao mesmo tempo, também foi mal implementado. Em vez de otimizar a velocidade, o código lança centenas de tarefas simultâneas, sobrecarregando o sistema e tornando o processo mais lento do que seria com uma configuração simples.

Fachada profissional, execução amadora

O VECT se apresenta como uma operação sofisticada. O painel de controle é bem construído, os materiais de recrutamento são detalhados, e a parceria com o BreachForums ampliou o alcance do grupo de forma significativa. Mas a análise técnica da CPR expõe uma contradição clara.

O código contém três rotinas de detecção de ambientes de análise que estão compiladas no executável, mas nunca são chamadas pelo programa. Nenhuma delas chega a funcionar. A CPR descreveu o cenário como o de um grupo que sabe quais recursos um ransomware profissional deveria ter, mas que não conseguiu implementá-los corretamente.

O malware também afirma usar o algoritmo ChaCha20-Poly1305 AEAD, versão autenticada que garante a integridade dos dados. Na realidade, usa o ChaCha20 simples, sem autenticação. A diferença é relevante porque o método real oferece menos proteção ao processo de criptografia.

A CPR alertou que as falhas identificadas podem ser corrigidas em versões futuras, e que a infraestrutura de distribuição já está montada para escalar os ataques. Por ora, qualquer empresa atingida pelo VECT 2.0 que pague o resgate não terá seus dados recuperados, não por má-fé dos criminosos, mas porque as chaves necessárias foram destruídas no momento do ataque.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.