Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
VECT 2.0, il finto ransomware che distrugge i dati: pagare non serve, file aziendali irrecuperabili su Windows/Linux/ESXi
VECT 2.0 è un ransomware che in realtà si comporta come un wiper, cioè un malware di distruzione dati. La particolarità che lo rende estremamente pericoloso è che su Windows, Linux ed ESXi finisce per rendere irrecuperabili molti file aziendali, anche nel caso in cui la vittima paghi il riscatto.
Questo cambia completamente la logica tipica degli attacchi ransomware, dove la promessa è la consegna di una chiave di decifratura dopo il pagamento.
Il problema nasce da un grave errore di progettazione nel processo di cifratura. Per i file oltre 131 KB, che sono la maggioranza dei documenti e database di valore in ambito enterprise, il malware cifra il contenuto a blocchi usando nonce casuali. Tuttavia salva sul disco solo l’ultimo nonce, mentre i primi tre nonce necessari per decifrare i rispettivi blocchi vengono generati e poi scartati senza essere memorizzati o trasmessi. In pratica, la parte principale del file diventa impossibile da recuperare per chiunque, inclusi gli stessi criminali. Il risultato è un danno permanente che rende inutile ogni negoziazione.
VECT 2.0 è anche un esempio di ransomware-as-a-service (RaaS), con un programma affiliati avviato a fine 2025. L’accesso richiede una quota di ingresso pagabile in Monero, con condizioni agevolate per specifiche aree geografiche. Il gruppo si presenta con un modello a tripla estorsione, che combina esfiltrazione dei dati, cifratura ed estorsione, aumentando la pressione sulle organizzazioni colpite.
Sul piano operativo, la variante Windows cifra dati su dischi locali, rimovibili e risorse di rete e include funzioni di persistenza e diffusione laterale. È presente anche un meccanismo che forza l’avvio in modalità provvisoria e configura l’esecuzione automatica tramite registro di sistema. Le varianti ESXi e Linux condividono parte del codice e includono controlli di geofencing e anti-debug, con tentativi di movimento laterale via SSH. Alcune scelte tecniche e comportamentali fanno pensare a sviluppatori poco esperti e alla possibile presenza di porzioni di codice generate con strumenti di intelligenza artificiale.
In uno scenario VECT 2.0 la difesa più efficace resta la resilienza: backup offline separati, test di ripristino e contenimento rapido dell’incidente, per ridurre al minimo l’impatto della distruzione dei file.