Los cazadores de amenazas advierten que la campaña de cibercrimen conocida como VECT 2.0 actúa más como un limpiador que como un ransomware, ya que la implementación de cifrado en las variantes de Windows, Linux y ESXi tiene fallas críticas que hacen que la recuperación sea imposible incluso para los atacantes.
El hecho de que el casillero de VECT destruya permanentemente archivos grandes en lugar de cifrarlos significa que incluso las víctimas que deciden pagar el rescate no pueden recuperar sus datos, ya que el malware destruye la clave de descifrado mientras se realiza el cifrado.
«VECT se comercializa como ransomware, pero actúa como una herramienta de destrucción de datos para archivos de más de 131 KB, que son la mayoría de los archivos que realmente interesan a las empresas», dijo Eli Smadja, gerente de grupo de Check Point Research, en un comunicado compartido con Hacker News.
«Los CISO deben comprender que en los incidentes de VECT, el pago no es una estrategia de recuperación. La falta de herramientas de descifrado para entregar no se debe a que el atacante no esté dispuesto, sino a que la información necesaria para crear herramientas de descifrado se destruye en el momento en que se ejecuta el software. La atención debe centrarse en la resiliencia (copias de seguridad fuera de línea, procedimientos de recuperación probados y contención rápida), no en la negociación».
VECT (ahora rebautizado como VECT 2.0) es un esquema de ransomware como servicio (RaaS) que lanzó por primera vez su programa de afiliados en diciembre de 2025. En su sitio web oscuro, el grupo muestra el mensaje “Exfiltración/Cifrado/Extorsión”, destacando su modelo de negocio de triple amenaza.
Según un análisis publicado el mes pasado por el Consejo de Seguridad de Datos de la India (DSCI), los nuevos afiliados deben pagar una tarifa de inscripción de 250 dólares, pagada en Monero (XMR). La tarifa no se aplica a los solicitantes de países de la Comunidad de Estados Independientes (CEI), lo que indica que estamos buscando reclutar personas de esta región.
En las últimas semanas, el grupo ha establecido asociaciones formales con el mercado de delitos cibernéticos BreachForums y el grupo de hackers TeamPCP. El objetivo es reducir aún más la barrera de entrada para los operadores de ransomware y alentar a los afiliados a lanzar ataques armados con datos previamente robados.
Dataminr señaló a principios de este mes que «la convergencia del robo de credenciales de la cadena de suministro a gran escala, la maduración de las operaciones de RaaS y la movilización masiva de foros de la web oscura representa un modelo sin precedentes para la implementación de ransomware industrializado».
Si bien esta asociación puede ser una señal de lo que está por venir, el sitio de violación de datos de la compañía actualmente solo enumera dos víctimas, y se dice que ambas fueron comprometidas por el ataque a la cadena de suministro de TeamPCP. Además, contrariamente a las afirmaciones iniciales del grupo de utilizar ChaCha20-Poly1305 AEAD para el cifrado, el análisis de Check Point encontró que se utilizó un cifrado más débil, no autenticado y sin protección de integridad.
Pero ese no es el único problema. Los casilleros basados en C++ en las tres plataformas tienen un defecto de diseño fundamental que hace que los archivos de más de 131.072 bytes se destruyan permanente e irremediablemente en lugar de cifrarse.
«El malware cifra cuatro fragmentos separados de cada ‘archivo grande’ utilizando cuatro nonces aleatorios de 12 bytes recién generados, pero solo agrega el nonce final a un archivo cifrado determinado en el disco», explica Check Point. «Los primeros tres nonces son necesarios para descifrar cada fragmento y se generan, utilizan y descartan silenciosamente. Nunca se almacenan en el disco, en el registro ni se envían al operador».
«Debido a que ChaCha20-IETF requiere tanto una clave de 32 bytes como un nonce de 12 bytes que coincida exactamente para deshacer cada fragmento, las primeras tres cuartas partes de cada archivo grande son irrecuperables para cualquiera, incluidos los operadores de ransomware que no pueden proporcionar herramientas efectivas de descifrado incluso después de pagar el rescate. Debido a que la mayoría de los archivos operativamente críticos exceden este umbral ‘grande’, VECT 2.0 en realidad actúa como un limpiador de datos. Fachada de ransomware. «
Además de cifrar archivos en almacenamiento local, extraíble y accesible en red, la versión para Windows de este ransomware presenta un conjunto integral de medidas antianálisis dirigidas a 44 herramientas específicas de seguridad y depuración, así como un mecanismo de persistencia en modo seguro y múltiples plantillas de script de ejecución remota para propagación lateral.
Cuando «–force-safemode» está activo, el casillero configura el siguiente arranque en Modo seguro de Windows y escribe su propia ruta ejecutable en el registro de Windows para que se ejecute automáticamente en arranques posteriores en Modo seguro. En este caso, el sistema operativo se inicia en un estado básico con un conjunto limitado de archivos y controladores.
Además, la variante de Windows implementa mecanismos de detección ambiental ocultos que nunca se llaman, lo que permite a los equipos de seguridad que ejecutan el artefacto evitar desencadenar respuestas evasivas. Las variantes de ESXi, por otro lado, fuerzan controles geográficos y antidepuración antes de iniciar el paso de cifrado. También intento usar SSH para navegar lateralmente. La versión de Linux utiliza la misma base de código que la versión ESXi e implementa un subconjunto de sus características.
El paso de geofencing comprueba si se está ejecutando en un país de la CEI y, de ser así, sale sin cifrar los archivos. Check Point dijo que la medida es bastante inusual, ya que la mayoría de los programas RaaS eliminaron a Ucrania de su lista de países de la CEI tras la invasión militar de Rusia a principios de 2022.
«Estos controles se han eliminado en gran medida del ransomware en los últimos años», añadió. «Es bastante inusual que VECT incluya tal verificación y también agregue a Ucrania a su lista de exclusión. Check Point Research tiene dos teorías con respecto a esta observación: o este código fue generado por IA, LLM fue capacitado en Ucrania, que es parte de la CEI, o VECT utilizó una base de código más antigua de ransomware».
Se considera que los operadores de VECT son actores novatos en lugar de actores de amenazas experimentados, sin mencionar que parte del código puede haber sido generado con la ayuda de herramientas de inteligencia artificial (IA).
«VECT 2.0 ofrece un perfil de amenazas ambicioso con cobertura multiplataforma, un programa de afiliados activo, entrega de la cadena de suministro a través de la asociación TeamPCP y un panel de operador sofisticado», concluyó Check Point. «En realidad, la implementación técnica está muy por debajo de la presentación».
Source link
