Los cazadores de amenazas advierten que la operación cibercriminal conocida como VECT 2.0 actúa más como un limpiador que como un ransomware debido a una falla crítica en su implementación de cifrado en las variantes de Windows, Linux y ESXi que hace que la recuperación sea imposible incluso para los actores de amenazas.

El hecho de que el casillero de VECT destruye permanentemente archivos grandes en lugar de cifrarlos, incluso las víctimas que optan por pagar el rescate no pueden recuperar sus datos, ya que el malware descarta las claves de descifrado durante el tiempo que se produce el cifrado.

«VECT se comercializa como ransomware, pero para cualquier archivo de más de 131 KB, que es lo que más les importa a las empresas, funciona como una herramienta de destrucción de datos», dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con The Hacker News.

«Los CISO deben comprender que en un incidente de VECT, pagar no es una estrategia de recuperación. No hay ningún descifrador que se pueda entregar, no porque los atacantes no estén dispuestos, sino porque la información necesaria para crear uno fue destruida en el momento en que se ejecutó su software. La atención debe centrarse en la resiliencia: copias de seguridad fuera de línea, procedimientos de recuperación probados y contención rápida, no en la negociación».

VECT (ahora rebautizado como VECT 2.0) es un esquema de ransomware como servicio (RaaS) que primero lanzado su programa de afiliados en diciembre de 2025. En su sitio web oscuro, el grupo muestra el mensaje «Exfiltración/Cifrado/Extorsión», destacando su modelo de negocio de triple amenaza.

Según un análisis publicado según el Consejo de Seguridad de Datos de la India (DSCI) el mes pasado, se requiere una tarifa de entrada de $250, pagadera en Monero (XMR), para los nuevos afiliados. La tarifa no se aplica a los solicitantes de los países de la Comunidad de Estados Independientes (CEI), lo que indica un intento de reclutar personas de la región.

En las últimas semanas, el grupo ha establecido una asociación formal con el mercado de cibercrimen BreachForums y el grupo de hackers TeamPCP, en una medida destinada a reducir aún más la barrera de entrada para los operadores de ransomware e incentivar a los afiliados a lanzar ataques utilizando como arma datos previamente robados.

«La convergencia del robo de credenciales de la cadena de suministro a gran escala, una operación RaaS madura y la movilización masiva de foros de la web oscura representa un modelo sin precedentes de implementación de ransomware industrializado», señaló Dataminr a principios de este mes.

Si bien la colaboración puede ser una señal de lo que está por venir, su sitio de filtración de datos actualmente enumera solo dos víctimas, y se dice que ambas fueron comprometidas a través de los ataques a la cadena de suministro de TeamPCP. Es más, contrariamente a las afirmaciones iniciales del grupo sobre el uso de ChaCha20-Poly1305 AEAD Para el cifrado, el análisis de Check Point ha descubierto que utiliza un cifrado más débil y no autenticado sin protección de integridad.

Pero la cosa no termina ahí, ya que los casilleros basados ​​en C++ para las tres plataformas sufren de un defecto de diseño fundamental que hace que cualquier archivo de más de 131.072 bytes se destruya de forma permanente e irrecuperable, en lugar de estar cifrado.

«El malware cifra cuatro fragmentos independientes de cada ‘archivo grande’ utilizando cuatro nonces aleatorios de 12 bytes recién generados, pero añade sólo el nonce final al archivo cifrado específico en el disco», explicó Check Point. «Los primeros tres nonces, cada uno de los cuales es necesario para descifrar su respectivo fragmento, se generan, utilizan y descartan silenciosamente. Nunca se almacenan en el disco, en el registro ni se transmiten al operador».

«Debido a que ChaCha20-IETF requiere tanto la clave de 32 bytes como el nonce exacto de 12 bytes para revertir cada fragmento, las primeras tres cuartas partes de cada archivo grande son irrecuperables para cualquiera, incluido el operador de ransomware, que no puede proporcionar una herramienta de descifrado que funcione incluso después del pago del rescate. Dado que la gran mayoría de los archivos operativamente críticos exceden este umbral de ‘gran tamaño’, VECT 2.0 funciona en la práctica como un limpiador de datos con una fachada de ransomware».

La versión para Windows del ransomware, además de cifrar archivos en almacenamiento local, extraíble y accesible en red, presenta un conjunto completo de antianálisis dirigido a 44 herramientas específicas de seguridad y depuración, junto con un mecanismo de persistencia en modo seguro y múltiples plantillas de script de ejecución remota para propagación lateral.

Cuando «–force-safemode» está activo, el casillero configura el siguiente inicio en Modo seguro de Windows y escribe su propia ruta ejecutable en el Registro de Windows para que se ejecute automáticamente en el siguiente inicio en Modo seguro, donde el sistema operativo se inicia en un estado básico utilizando un conjunto limitado de archivos y controladores.

Además de eso, aunque la variante de Windows implementa mecanismos de detección del entorno para pasar desapercibidos, nunca se invocan, lo que permite a los equipos de seguridad que ejecutan los artefactos evitar desencadenar cualquier respuesta evasiva. La variante ESXi, por otro lado, aplica controles geográficos y antidepuración antes de comenzar el paso de cifrado. También intenta moverse lateralmente usando SSH. La versión de Linux utiliza la misma base de código que la versión ESXi e implementa un subconjunto de su funcionalidad.

El paso de geofencing verifica si se está ejecutando en un país de la CEI y, de ser así, sale sin cifrar los archivos. Este comportamiento, según Check Point, es bastante inusual ya que la mayoría de los programas RaaS eliminaron a Ucrania de la lista de países de la CEI tras la invasión militar del país por parte de Rusia a principios de 2022.

«Durante los últimos años, estos controles se han eliminado en gran medida del ransomware», añadió. «Es bastante poco común que VECT incluya tales controles e incluso agregue a Ucrania a la lista de exclusiones. Check Point Research tiene dos teorías con respecto a esta observación: o este código fue generado por IA, donde los LLM fueron capacitados con Ucrania como parte de la CEI o VECT utilizó una base de código antigua para su ransomware».

Se considera que los operadores de VECT son actores novatos en lugar de actores de amenazas experimentados, sin mencionar la posibilidad de que algunos fragmentos de código se hayan generado con la ayuda de una herramienta de inteligencia artificial (IA).

«VECT 2.0 presenta un perfil de amenaza ambicioso con cobertura multiplataforma, un programa de afiliados activo, distribución en la cadena de suministro a través de la asociación TeamPCP y un panel de operador pulido», concluyó Check Point. «En la práctica, la implementación técnica está muy por debajo de su presentación.»