Ransomware impede recuperação de dados

29/04/2026 mindsecblog Notícias 0

Check Point alerta: Falha em novo ransomware impede recuperação de dados mesmo após pagamento e amplia risco para empresas

Análise mostra que malware destrói arquivos críticos de forma irreversível, apresenta falhas em todas as versões e escala ataques por meio de ampla rede de afiliados

A equipe de pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, divulga análise sobre o grupo de ransomware VECT que indica uma falha estrutural capaz de inviabilizar a recuperação de dados mesmo após pagamento de resgate. A análise da CPR aponta que o malware destrói permanentemente arquivos de maior tamanho em vez de criptografá-los de forma reversível, o que elimina qualquer possibilidade de descriptografia.

Os arquivos afetados concentram ativos críticos de empresas, como imagens de máquinas virtuais, bancos de dados, backups e arquivos compactados. Na prática, o VECT atua como um software de destruição de dados acompanhado de nota de resgate, sem capacidade técnica de devolver o acesso às informações.

De acordo com Eli Smadja, gerente de grupo de pesquisas da Check Point Research, o comportamento do VECT altera o modelo econômico tradicional do ransomware. Para arquivos acima de 131 KB, que representam a maior parte dos dados corporativos relevantes, não existe chave de recuperação possível. A recomendação é direcionar esforços para resiliência, com backups offline, testes frequentes de restauração e contenção rápida de incidentes.

A análise identificou que a falha está presente em todas as versões do chamado ransomware VECT, incluindo variantes para Windows, Linux e VMware ESXi, e existe desde antes do lançamento público da versão 2.0, sem nunca ter sido corrigida. Na prática, o problema faz com que arquivos críticos sejam permanentemente destruídos, o que inviabiliza a recuperação de dados mesmo em cenários de pagamento de resgate.

Os pesquisadores também apontam inconsistências técnicas relevantes. Diferentemente do que divulgado pelo próprio grupo de ransomware, o VECT não utiliza o algoritmo ChaCha20-Poly1305 com autenticação. A implementação identificada é mais fraca e não oferece proteção de integridade. Recursos anunciados como modos de velocidade de criptografia e mecanismos de evasão não funcionam ou não são ativados durante a execução.

Apesar das falhas, o grupo de ransomware apresenta estratégia agressiva de expansão. O VECT estabeleceu parceria com o BreachForums e com o grupo TeamPCP, associado a ataques de cadeia de suprimentos contra ferramentas amplamente utilizadas por desenvolvedores. A iniciativa ampliou o acesso à plataforma de ransomware para milhares de afiliados de forma automatizada, criando uma base operacional em larga escala.

A equipe da CPR aponta que o código do VECT pode ter origem em versões antigas de ransomware anteriores a 2022 ou incluir trechos gerados com apoio de inteligência artificial (IA). Indícios como configurações de restrição geográfica desatualizadas indicam possível reutilização de código antigo, em vez de desenvolvimento próprio consistente.

Para organizações impactadas, a orientação é não realizar pagamento de resgate, uma vez que não há mecanismo funcional de recuperação para arquivos críticos. A prioridade deve ser a restauração a partir de backups íntegros e a ativação imediata de protocolos de resposta a incidentes.

Para empresas que ainda não foram afetadas, o risco permanece elevado. O VECT mantém capacidade de exfiltração de dados e interrupção de sistemas, além de poder evoluir tecnicamente com correções futuras distribuídas pela mesma rede de afiliados já estabelecida.

Empresas expostas a ataques recentes da cadeia de suprimentos associados ao TeamPCP devem priorizar a rotação de credenciais e revisão de acessos. As soluções Check Point Threat Emulation e Harmony Endpoint oferecem proteção completa contra todas as variantes conhecidas do VECT em ambientes Windows, Linux e ESXi.

Para ler a análise técnica completa, incluindo detalhes sobre o código, a falha de criptografia e detalhamento plataforma por plataforma, acesse o relatório da Check Point Research.

 

Sobre a Check Point Research

A Check Point Research (CPR) é a divisão de inteligência de ameaças da Check Point Software Technologies, responsável por coletar e analisar dados globais de ataques cibernéticos por meio da plataforma ThreatCloud. A equipe conta com mais de 100 analistas e pesquisadores e atua em colaboração com fornecedores de segurança, autoridades e organizações internacionais para antecipar ameaças e fortalecer a proteção de clientes em todo o mundo.

Clique e fale com representante oficial Netwrix

Veja também:

 

About mindsecblog 3533 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Diferença entre análise de vulnerabilidades e gerenciamento de vulnerabilidades

28/09/2022 mindsecblog Artigos, Notícias 1

Diferença entre análise de vulnerabilidades e gerenciamento de vulnerabilidades, que podem ajudar sua organização a lidar efetivamente com vulnerabilidades de segurança cibernética. No cenário atual de ameaças à segurança cibernética em constante evolução, você precisa […]

Notícias

Continuidade de negócios é a nova prioridade das empresas

12/12/2025 mindsecblog Notícias 0

Quando o sistema para: continuidade de negócios é a nova prioridade das empresas digitais   Um clique errado, uma atualização malsucedida ou uma falha em nuvem — e de repente o mundo corporativo trava. E […]

Notícias

Como proteger dados sensíveis do acesso da TI?

22/05/2017 mindsecblog Notícias 0

Todo mundo conhece os valores da tabela do próximo bônus ? Embora seja uma informação sensível e de controle de apenas alguns analistas de RH,  costumeiramente a equipe de TI sabe os salários e os […]

Be the first to comment

Deixe sua opinião!