Malware falho – Uma análise técnica revelou que um erro de programação em um ransomware em circulação pode tornar inútil qualquer tentativa de recuperar arquivos sequestrados. O problema foi identificado por pesquisadores da Check Point Research (CPR), que apontaram a falha em todas as versões do malware conhecido como VECT, incluindo a mais recente, 2.0.
Na prática, o defeito impede que os próprios criminosos consigam restaurar os dados das vítimas, mesmo após o pagamento do resgate. Isso ocorre porque o erro afeta diretamente o mecanismo de criptografia dos arquivos.
LEIA: Atores e estúdios fecham acordo para limitar uso de IA em Hollywood
Erro compromete recuperação de arquivos
O funcionamento tradicional de um ransomware envolve a criptografia dos dados e a liberação das chaves mediante pagamento. No caso do VECT, esse processo é comprometido por uma falha no gerenciamento das chaves.
Arquivos maiores que 128 KB são divididos em quatro partes e criptografados com chaves diferentes. No entanto, apenas a chave da última parte é armazenada. As demais são sobrescritas e apagadas durante o processo, tornando impossível reconstruí-las posteriormente.
Como resultado, cerca de três quartos de cada arquivo se torna permanentemente inacessível. Isso afeta documentos corporativos, bancos de dados, backups e outros arquivos críticos.
Modelo de operação amplia alcance
O VECT opera no formato ransomware-as-a-service (RaaS), no qual desenvolvedores disponibilizam a ferramenta para afiliados realizarem ataques em troca de participação nos lucros. O grupo responsável iniciou suas atividades no fim de 2025 e passou a expandir rapidamente sua atuação.
Após os primeiros ataques registrados no início de 2026, o malware evoluiu para uma versão compatível com diferentes sistemas, incluindo Windows, Linux e servidores VMware ESXi. Parcerias com outros grupos e fóruns de cibercrime ampliaram ainda mais sua distribuição.
Código revela inconsistências
Além da falha principal, a análise identificou outros problemas que indicam inconsistências entre o que é prometido pelos operadores e o que o malware realmente entrega.
Entre eles estão configurações que aparecem no painel de controle, mas não influenciam o funcionamento do ataque, além de tentativas de ocultar código que acabam sendo ineficazes. Há também falhas na gestão de processos, que prejudicam o desempenho do próprio sistema.
Outro ponto destacado é o uso de um método de criptografia menos robusto do que o anunciado, o que reforça a distância entre a aparência de sofisticação e a execução prática.
Risco permanece apesar das falhas
Apesar dos erros técnicos, pesquisadores alertam que o risco não deve ser subestimado. A infraestrutura já montada e o ritmo de expansão indicam potencial para novos ataques, especialmente se as falhas forem corrigidas em versões futuras.
Por ora, o cenário é incomum: vítimas que pagam o resgate não recuperam seus dados não por descumprimento dos criminosos, mas porque as informações necessárias para a restauração são eliminadas durante o próprio ataque.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/nikitabuida)
