A campanha conhecida como VECT 2.0 está obrigando as organizações a replantear o que entendem por "ransomware": longe de ser apenas uma ferramenta de criptografia e extorsão, por um erro de design técnico atua em demasiados casos como um um rascunho irreversível de dados. Pesquisas de assinaturas de segurança e meios especializados demonstraram que as variantes para Windows, Linux e ESXi dividem arquivos grandes em fragmentos criptografados com ChaCha20-IETF, mas só armazenam o nonce correspondente ao último fragmento, descartando os três nonces necessários para reconstruir a maior parte do conteúdo. O limiar crítico é de 131.072 bytes; todo arquivo maior a esse tamanho fica, na prática, irrecuperável mesmo quando solicitado e pago resgate.
Este erro técnico converte VECT 2.0 em um wiper camuflado do ransomware: não se trata de que os criminosos se recusam a devolver as chaves, mas de que não dispõem da informação necessária para construir um desencriptador funcional. A consequência direta para as vítimas é brutalmente simples: pagar não garante recuperação. As recomendações habituais de negociação tornam-se ineficazes; a estratégia deve mover-se para a contenção, a recuperação de cópias fiáveis e a preservação forense de evidências.
Por outro lado, VECT 2.0 é também uma experiência de industrialização do crime digital. É lançado como RaaS com programa de afiliados (com uma tarifa de entrada que se reporta em Monero), isenções para requerentes de certas regiões, e acordos com fóruns e grupos de filtração para facilitar o acesso a credenciais roubadas e reduzir a barreira técnica de ataque. Essa combinação —cesso a dados exfiltrados + painel de controle + afiliados — é a receita para escalar incidentes em volume e rapidez, e aumenta a probabilidade de incidentes direcionados a cadeias de fornecimento e redes críticas.
Além da questão criptográfica, as variantes mostram funcionalidades preocupantes que facilitam a propagação e evaden a análise: persistência em modo seguro no Windows, modelos para execução remota e movimentos laterais por SSH em ESXi/Linux, e geofencing que evita infectar certas jurisdições. Curiosamente, a lista de exclusões inclui países que outras famílias de ransomware tentam evitar, o que levou os pesquisadores a especular sobre código reutilizado, geração assistida por IA ou simples erros na lógica geográfica.
O que os responsáveis pela segurança devem fazer hoje? O primeiro é assumir que, diante de uma infecção com esta família, não se pode confiar no pagamento para recuperar dados. É imperativo ativar planos de resposta que priorizem a contenção do impacto: isolar sistemas afetados, preservar imagens forenses de discos e logs, e proceder a uma restauração a partir de cópias de segurança fora de linha ou inmóveis (WORM/immutáveis) que tenham sido testadas em exercícios anteriores. As cópias na nuvem devem ser combinadas com controles de integridade e versões para evitar que o malware as cifre ou corrompa.
Em paralelo, os equipamentos devem rever controlos técnicos que limitam o risco de propagação: segmentação de rede, mínimo privilégio em contas administrativas, desactivação de serviços desnecessários expostos (por exemplo, SMB ou SSH sem gestão), aplicação generalizada de MFA, e detecção precoce com EDR/SIEM que alerte sobre alterações massivas de arquivos, alterações na política de arranque ou escrituras anormais em VSS e backups. Não menos importante é a rotatividade e remediação de credenciais comprometidas e a revisão de fornecedores e acessos de terceiros após uma possível campanha de supply-chain.
Desde a governação, as organizações devem documentar decisões e comunicações: notificar reguladores e afetados se a regulamentação o exigir, coordenar com forças de segurança e partilhar indicadores com a comunidade de resposta (CTI). Também é altura de investir em resiliência: políticas de backup offline, testes regulares de recuperação, seguros cibernéticos com clareza sobre exclusões, e avaliações de risco que contemplem cenários de remoção maciça irreparável.
Finalmente, o aparecimento de VECT 2.0 sublinha dois riscos estratégicos: democratização do cibercrime por RaaS e marketplaces, e a possibilidade de erros técnicos ou código gerado por IA que tornem ferramentas em armas de destruição acidental. As organizações devem abordar ambos: reforçar os controlos técnicos e adoptar uma postura proactiva de inteligência sobre ameaças e segurança da cadeia de abastecimento para reduzir a superfície de ataque. Para ampliar informações técnicas e alertas públicos, podem ser consultadas investigações e comunicados dos laboratórios de segurança e de imprensa especializada, por exemplo, os recursos de Check Point Research e meios como The Hacker News, bem como publicações de organismos setoriais como o Data Security Council of India e análise de inteligência de mercado Check Point Research, The Hacker News e Data Security Council of India (DSCI).
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...