Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware VECT 2.0

Ransomware VECT 2.0

Por Mezo en Ransomware
Traducir a:

La operación ciberdelictiva conocida como VECT 2.0 se presenta como ransomware, pero los análisis técnicos revelan un comportamiento mucho más parecido al de un programa de borrado de datos. Una grave vulnerabilidad en su sistema de cifrado, presente en variantes para Windows, Linux y ESXi, imposibilita la recuperación de archivos, incluso para los responsables de los ataques.

Para archivos de más de 131 KB, que incluyen la mayoría de los datos críticos para las empresas, el malware no ofrece cifrado recuperable. En su lugar, destruye permanentemente los datos necesarios para su restauración. Por lo tanto, el pago del rescate no ofrece ninguna posibilidad real de recuperación.

En cualquier incidente de VECT 2.0, la negociación no debe considerarse una estrategia de remediación. No existe un descifrador funcional que entregar, ya que la información necesaria para crearlo se elimina durante la ejecución. Las prioridades de defensa deben centrarse en copias de seguridad sin conexión, planes de recuperación validados, contención rápida y resiliencia empresarial.

Una creciente operación de RaaS con alianzas criminales.

VECT se lanzó originalmente como un programa de ransomware como servicio (RaaS) en diciembre de 2025 y desde entonces ha cambiado su nombre a VECT 2.0. Su portal en la web oscura anuncia el modelo "Exfiltración / Cifrado / Extorsión", lo que indica un enfoque de triple extorsión.

Según se informa, a los nuevos afiliados se les cobra una cuota de inscripción de 250 dólares en Monero (XMR). Sin embargo, los solicitantes de los países de la Comunidad de Estados Independientes (CEI) están exentos, lo que sugiere una estrategia de captación dirigida a personas de esa región.

El grupo también ha establecido alianzas con BreachForums y el colectivo de hackers TeamPCP. Esta cooperación parece tener como objetivo simplificar las operaciones de ransomware, reducir las barreras para nuevos afiliados y utilizar datos previamente robados como arma para futuros ataques.

La combinación del robo de credenciales en la cadena de suministro, las operaciones organizadas de afiliados y la movilización criminal a través de foros refleja un ecosistema de ransomware cada vez más industrializado.

El número de víctimas sigue siendo bajo a pesar de las afirmaciones contundentes.

A pesar de su agresiva estrategia de marketing, el sitio web donde se filtró la información de VECT 2.0 supuestamente solo enumera dos víctimas, ambas presuntamente comprometidas a través de ataques a la cadena de suministro relacionados con TeamPCP.

Inicialmente, el grupo afirmó utilizar ChaCha20-Poly1305 AEAD, un método de cifrado autenticado más robusto. Sin embargo, una revisión técnica reveló el uso de un cifrado no autenticado más débil, sin protección de integridad, lo que generó serias dudas sobre su capacidad y credibilidad.

El fallo de cifrado que destruye los datos

El fallo más crítico del malware reside en cómo procesa los archivos de más de 131.072 bytes. En lugar de cifrar de forma segura los datos recuperables, divide cada archivo grande en cuatro fragmentos y cifra cada sección utilizando valores aleatorios de 12 bytes.

Solo el nonce final se almacena con el archivo cifrado. Los tres primeros nonces, necesarios para descifrar la mayor parte del archivo, se generan, se usan una sola vez y se descartan permanentemente. No se guardan localmente, no se registran en el registro ni se envían al operador.

Debido a que el método ChaCha20-IETF requiere tanto la clave correcta de 32 bytes como el nonce correspondiente para el descifrado, las tres cuartas partes iniciales de cada archivo afectado se vuelven irrecuperables. Esto significa que VECT 2.0 funciona operativamente como un programa destructivo que borra datos, oculto tras mensajes de ransomware.

Variante de Windows: Funciones avanzadas, ejecución deficiente.

La versión para Windows es la que cuenta con más funciones y está dirigida a:

  • Unidades locales, medios extraíbles y almacenamiento en red accesible
  • 44 herramientas de seguridad y depuración mediante comprobaciones anti-análisis
  • Mecanismos de persistencia del modo seguro
  • Plantillas de scripts de ejecución remota para movimiento lateral

Cuando se ejecuta con la opción --force-safemode, el malware configura el siguiente reinicio en el Modo seguro de Windows y agrega la ruta de su archivo ejecutable al Registro de Windows para que se ejecute automáticamente después del reinicio en un entorno de seguridad reducida.

Curiosamente, aunque la versión para Windows incluye mecanismos de detección y evasión del entorno, al parecer, estas rutinas nunca se ejecutan. Esto podría permitir a los defensores analizar muestras sin activar respuestas encubiertas.

Las variantes de Linux y ESXi amplían la superficie de amenazas.

La versión ESXi realiza comprobaciones de geolocalización y anti-depuración antes de iniciar el cifrado. También intenta el acceso no autorizado mediante SSH. La variante Linux comparte el mismo código fuente que la muestra ESXi, pero incluye menos funcionalidades.

Esta compatibilidad multiplataforma otorga a VECT 2.0 un amplio potencial de segmentación para entornos empresariales, especialmente aquellos que dependen de la virtualización y de sistemas operativos mixtos.

La inusual geolocalización de CIS plantea interrogantes.

Antes de cifrar los sistemas, el malware comprueba si se está ejecutando en un país de la CEI. En caso afirmativo, detiene su ejecución. Cabe destacar que, según se informa, Ucrania aún figura en estas exclusiones, un comportamiento inusual dado que muchos grupos de ransomware eliminaron a Ucrania de las listas de países exentos de la CEI después de 2022.

Se han propuesto dos posibles explicaciones:

  • Es posible que el malware se haya generado parcialmente utilizando modelos de IA entrenados con datos geopolíticos obsoletos.
  • Es posible que los desarrolladores hayan reutilizado una base de código de ransomware antigua sin actualizar la lógica regional.

Señales de operadores inexpertos

Aunque VECT 2.0 se promociona como una amenaza multiplataforma sofisticada con captación de afiliados, asociaciones en la cadena de suministro y una imagen de marca profesional, la ejecución técnica cuenta una historia diferente.

La evaluación de seguridad sugiere que los operadores son probablemente ciberdelincuentes novatos, más que desarrolladores experimentados de ransomware. No se puede descartar la posibilidad de que parte del malware haya sido producido o ayudado por código generado por IA.

Evaluación de seguridad ejecutiva

VECT 2.0 demuestra cómo un ransomware de apariencia peligrosa puede tener fallos técnicos. Su infraestructura, alianzas y marca crean la imagen de una organización criminal seria, pero el fallo en el diseño del cifrado socava por completo el modelo de extorsión.

Para los defensores, la lección es clara: centrarse en la resiliencia, las copias de seguridad, la segmentación y la respuesta rápida ante incidentes. En un ataque VECT 2.0, el pago no garantiza la recuperación, sino que solo llega tras la destrucción.

Tendencias

Mas Visto

Cargando...