{"id":694,"date":"2026-04-28T15:27:39","date_gmt":"2026-04-28T15:27:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/vect-2-0-ransomware-destruye-irreversiblemente-archivos-de-mas-de-131-kb-en-windows-linux-y-esxi-cyberdefensa-mx\/"},"modified":"2026-04-28T15:27:39","modified_gmt":"2026-04-28T15:27:39","slug":"vect-2-0-ransomware-destruye-irreversiblemente-archivos-de-mas-de-131-kb-en-windows-linux-y-esxi-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/vect-2-0-ransomware-destruye-irreversiblemente-archivos-de-mas-de-131-kb-en-windows-linux-y-esxi-cyberdefensa-mx\/","title":{"rendered":"VECT 2.0 Ransomware destruye irreversiblemente archivos de m\u00e1s de 131 KB en Windows, Linux y ESXi \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los cazadores de amenazas advierten que la operaci\u00f3n cibercriminal conocida como VECT 2.0<\/strong> act\u00faa m\u00e1s como un limpiador que como un ransomware debido a una falla cr\u00edtica en su implementaci\u00f3n de cifrado en las variantes de Windows, Linux y ESXi que hace que la recuperaci\u00f3n sea imposible incluso para los actores de amenazas.<\/p>\n

El hecho de que el casillero de VECT destruye permanentemente archivos grandes<\/a> en lugar de cifrarlos, incluso las v\u00edctimas que optan por pagar el rescate no pueden recuperar sus datos, ya que el malware descarta las claves de descifrado durante el tiempo que se produce el cifrado.<\/p>\n

\u00abVECT se comercializa como ransomware, pero para cualquier archivo de m\u00e1s de 131 KB, que es lo que m\u00e1s les importa a las empresas, funciona como una herramienta de destrucci\u00f3n de datos\u00bb, dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con The Hacker News.<\/p>\n

\u00abLos CISO deben comprender que en un incidente de VECT, pagar no es una estrategia de recuperaci\u00f3n. No hay ning\u00fan descifrador que se pueda entregar, no porque los atacantes no est\u00e9n dispuestos, sino porque la informaci\u00f3n necesaria para crear uno fue destruida en el momento en que se ejecut\u00f3 su software. La atenci\u00f3n debe centrarse en la resiliencia: copias de seguridad fuera de l\u00ednea, procedimientos de recuperaci\u00f3n probados y contenci\u00f3n r\u00e1pida, no en la negociaci\u00f3n\u00bb.<\/p>\n

VECT<\/a> (ahora rebautizado como VECT 2.0) es un esquema de ransomware como servicio (RaaS) que primero lanzado<\/a> su programa de afiliados en diciembre de 2025. En su sitio web oscuro, el grupo muestra el mensaje \u00abExfiltraci\u00f3n\/Cifrado\/Extorsi\u00f3n\u00bb, destacando su modelo de negocio de triple amenaza.<\/p>\n

Seg\u00fan un an\u00e1lisis publicado<\/a> seg\u00fan el Consejo de Seguridad de Datos de la India (DSCI) el mes pasado, se requiere una tarifa de entrada de $250, pagadera en Monero (XMR), para los nuevos afiliados. La tarifa no se aplica a los solicitantes de los pa\u00edses de la Comunidad de Estados Independientes (CEI), lo que indica un intento de reclutar personas de la regi\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En las \u00faltimas semanas, el grupo ha establecido una asociaci\u00f3n formal con el mercado de cibercrimen BreachForums y el grupo de hackers TeamPCP, en una medida destinada a reducir a\u00fan m\u00e1s la barrera de entrada para los operadores de ransomware e incentivar a los afiliados a lanzar ataques utilizando como arma datos previamente robados.<\/p>\n

\u00abLa convergencia del robo de credenciales de la cadena de suministro a gran escala, una operaci\u00f3n RaaS madura y la movilizaci\u00f3n masiva de foros de la web oscura representa un modelo sin precedentes de implementaci\u00f3n de ransomware industrializado\u00bb, se\u00f1al\u00f3 Dataminr a principios de este mes.<\/p>\n

Si bien la colaboraci\u00f3n puede ser una se\u00f1al de lo que est\u00e1 por venir, su sitio de filtraci\u00f3n de datos actualmente enumera solo dos v\u00edctimas, y se dice que ambas fueron comprometidas a trav\u00e9s de los ataques a la cadena de suministro de TeamPCP. Es m\u00e1s, contrariamente a las afirmaciones iniciales del grupo sobre el uso de ChaCha20-Poly1305 AEAD<\/a> Para el cifrado, el an\u00e1lisis de Check Point ha descubierto que utiliza un cifrado m\u00e1s d\u00e9bil y no autenticado sin protecci\u00f3n de integridad.<\/p>\n

Pero la cosa no termina ah\u00ed, ya que los casilleros basados \u200b\u200ben C++ para las tres plataformas sufren de un defecto de dise\u00f1o fundamental que hace que cualquier archivo de m\u00e1s de 131.072 bytes se destruya de forma permanente e irrecuperable, en lugar de estar cifrado.<\/p>\n

\u00abEl malware cifra cuatro fragmentos independientes de cada ‘archivo grande’ utilizando cuatro nonces aleatorios de 12 bytes reci\u00e9n generados, pero a\u00f1ade s\u00f3lo el nonce final al archivo cifrado espec\u00edfico en el disco\u00bb, explic\u00f3 Check Point. \u00abLos primeros tres nonces, cada uno de los cuales es necesario para descifrar su respectivo fragmento, se generan, utilizan y descartan silenciosamente. Nunca se almacenan en el disco, en el registro ni se transmiten al operador\u00bb.<\/p>\n

\u00abDebido a que ChaCha20-IETF requiere tanto la clave de 32 bytes como el nonce exacto de 12 bytes para revertir cada fragmento, las primeras tres cuartas partes de cada archivo grande son irrecuperables para cualquiera, incluido el operador de ransomware, que no puede proporcionar una herramienta de descifrado que funcione incluso despu\u00e9s del pago del rescate. Dado que la gran mayor\u00eda de los archivos operativamente cr\u00edticos exceden este umbral de ‘gran tama\u00f1o’, VECT 2.0 funciona en la pr\u00e1ctica como un limpiador de datos con una fachada de ransomware\u00bb.<\/p>\n

La versi\u00f3n para Windows del ransomware, adem\u00e1s de cifrar archivos en almacenamiento local, extra\u00edble y accesible en red, presenta un conjunto completo de antian\u00e1lisis dirigido a 44 herramientas espec\u00edficas de seguridad y depuraci\u00f3n, junto con un mecanismo de persistencia en modo seguro y m\u00faltiples plantillas de script de ejecuci\u00f3n remota para propagaci\u00f3n lateral.<\/p>\n

Cuando \u00ab\u2013force-safemode\u00bb est\u00e1 activo, el casillero configura el siguiente inicio en Modo seguro de Windows y escribe su propia ruta ejecutable en el Registro de Windows para que se ejecute autom\u00e1ticamente en el siguiente inicio en Modo seguro, donde el sistema operativo se inicia en un estado b\u00e1sico utilizando un conjunto limitado de archivos y controladores.<\/p>\n

Adem\u00e1s de eso, aunque la variante de Windows implementa mecanismos de detecci\u00f3n del entorno para pasar desapercibidos, nunca se invocan, lo que permite a los equipos de seguridad que ejecutan los artefactos evitar desencadenar cualquier respuesta evasiva. La variante ESXi, por otro lado, aplica controles geogr\u00e1ficos y antidepuraci\u00f3n antes de comenzar el paso de cifrado. Tambi\u00e9n intenta moverse lateralmente usando SSH. La versi\u00f3n de Linux utiliza la misma base de c\u00f3digo que la versi\u00f3n ESXi e implementa un subconjunto de su funcionalidad.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El paso de geofencing verifica si se est\u00e1 ejecutando en un pa\u00eds de la CEI y, de ser as\u00ed, sale sin cifrar los archivos. Este comportamiento, seg\u00fan Check Point, es bastante inusual ya que la mayor\u00eda de los programas RaaS eliminaron a Ucrania de la lista de pa\u00edses de la CEI tras la invasi\u00f3n militar del pa\u00eds por parte de Rusia a principios de 2022.<\/p>\n

\u00abDurante los \u00faltimos a\u00f1os, estos controles se han eliminado en gran medida del ransomware\u00bb, a\u00f1adi\u00f3. \u00abEs bastante poco com\u00fan que VECT incluya tales controles e incluso agregue a Ucrania a la lista de exclusiones. Check Point Research tiene dos teor\u00edas con respecto a esta observaci\u00f3n: o este c\u00f3digo fue generado por IA, donde los LLM fueron capacitados con Ucrania como parte de la CEI o VECT utiliz\u00f3 una base de c\u00f3digo antigua para su ransomware\u00bb.<\/p>\n

Se considera que los operadores de VECT son actores novatos en lugar de actores de amenazas experimentados, sin mencionar la posibilidad de que algunos fragmentos de c\u00f3digo se hayan generado con la ayuda de una herramienta de inteligencia artificial (IA).<\/p>\n

\u00abVECT 2.0 presenta un perfil de amenaza ambicioso con cobertura multiplataforma, un programa de afiliados activo, distribuci\u00f3n en la cadena de suministro a trav\u00e9s de la asociaci\u00f3n TeamPCP y un panel de operador pulido\u00bb, concluy\u00f3 Check Point. \u00abEn la pr\u00e1ctica, la implementaci\u00f3n t\u00e9cnica est\u00e1 muy por debajo de su presentaci\u00f3n.\u00bb<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los cazadores de amenazas advierten que la operaci\u00f3n cibercriminal conocida como VECT 2.0 act\u00faa m\u00e1s como un limpiador que como un ransomware debido a una falla cr\u00edtica en su implementaci\u00f3n de cifrado en las variantes de Windows, Linux y ESXi que hace que la recuperaci\u00f3n sea imposible incluso para los actores de amenazas. El hecho […]<\/p>\n","protected":false},"author":1,"featured_media":589,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1339,24,2157,2159,2158,15,98,508,2156,421],"class_list":["post-694","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-archivos","tag-cyberdefensa-mx","tag-destruye","tag-esxi","tag-irreversiblemente","tag-linux","tag-mas","tag-ransomware","tag-vect","tag-windows"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/694","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=694"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/694\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/589"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=694"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=694"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=694"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}