){kind=small}
)
Uma nova operação de ransomware detectada pela RedPiranha e chamada Vect surgiu no início de janeiro com as primeiras vítimas confirmadas, incluindo organizações no Brasil e na África do Sul. Os alvos visados estavam nos setores de educação e manufatura, com roubos de dados que chegaram a 150 gigabytes.
Modelo de franquia do cibercrime
O Vect é distribuído num modelo que funciona como RaaS, sigla para Ransomware-as-a-Service, ou "Ransomware como Serviço". Na prática, funciona como uma franquia, na qual os desenvolvedores criam o malware e toda a infraestrutura técnica, enquanto "afiliados" executam os ataques. Os lucros são divididos entre todos os envolvidos.
Nossos vídeos em destaque
)
Para entrar nesse programa de afiliados, criminosos pagam uma taxa de US$ 250 em Monero, uma criptomoeda projetada especificamente para dificultar rastreamento. Diferente do Bitcoin, onde todas as transações ficam registradas em um livro-razão público, o Monero ofusca completamente quem enviou, quem recebeu e quanto foi transferido.
"O uso exclusivo de Monero demonstra que estamos lidando com operadores que entendem profundamente de segurança operacional", explica um analista de ameaças cibernéticas que prefere não se identificar. “Eles não deixam rastros financeiros.”
Tecnologia de ponta a serviço do crime
Uma das características técnicas que diferencia o Vect é o algoritmo de criptografia utilizado, ChaCha20-Poly1305.
O algoritmo de criptografia mais comum hoje é o AES-256, considerado extremamente seguro e usado por governos e bancos. Porém, o AES funciona melhor em processadores modernos que têm aceleração de hardware, circuitos especializados que fazem esse trabalho mais rápido.
O ChaCha20 foi desenvolvido pelo criptógrafo Daniel J. Bernstein justamente para ser veloz em qualquer tipo de hardware, mesmo em equipamentos mais antigos ou simples.
Segundo o documento técnico sobre o Vect, esse algoritmo é aproximadamente 2,5 vezes mais rápido que o AES-256-GCM em sistemas sem aceleração específica. Na prática, isso significa que o ransomware pode criptografar arquivos muito mais rapidamente, reduzindo o tempo que equipes de segurança têm para detectar e interromper o ataque.
Ataque a múltiplas plataformas
Enquanto muitos ransomwares focam exclusivamente no Windows, o Vect foi desenvolvido para atacar três ambientes diferentes: Windows, Linux e VMware ESXi.
O ESXi é uma plataforma de virtualização, e empresas usam essa tecnologia para otimizar recursos: em vez de ter 50 servidores físicos ocupando espaço e consumindo energia, você pode ter tudo rodando virtualmente em 5 máquinas potentes.
Ao atacar especificamente o ESXi, o Vect pode paralisar completamente a infraestrutura de uma organização de uma só vez. O malware trabalha diretamente com arquivos VHD (Virtual Hard Disk), que são os "discos rígidos virtuais" onde ficam armazenados todos os dados dessas máquinas virtuais.
A anatomia de um ataque Vect
O ciclo de um ataque do Vect segue etapas bem definidas, cada uma explorando vulnerabilidades diferentes nas defesas corporativas.
Primeiro, os afiliados geralmente obtêm acesso através de serviços RDP (Remote Desktop Protocol, que permite controlar computadores à distância) ou VPN (Virtual Private Network, que cria túneis seguros para redes corporativas) expostos na internet sem proteção adequada.
Outra porta comum é o phishing: e-mails enganosos que convencem funcionários a revelar senhas ou baixar arquivos infectados.
Uma vez dentro, os atacantes precisam de permissões de administrador. Isso é conseguido através de técnicas como "credential dumping", onde o malware vasculha a memória do computador e arquivos de configuração em busca de senhas armazenadas.
Antes de criptografar qualquer coisa, o Vect faz um reconhecimento completo. Ele identifica servidores de arquivos, pastas compartilhadas, sistemas de backup, bancos de dados e infraestrutura de virtualização.
O ransomware não fica em um único computador. Ele se move lateralmente pela rede usando protocolos legítimos de administração. O SMB (Server Message Block) é o sistema que o Windows usa para compartilhar arquivos e impressoras entre computadores. O WinRM (Windows Remote Management) permite executar comandos remotamente.
O Vect usa essas ferramentas normais de TI, tornando suas ações difíceis de distinguir de atividades administrativas legítimas.
O sequestro que não acaba ao pagar
Antes de criptografar qualquer arquivo, o ransomware rouba grandes volumes de dados sensíveis, incluindo informações pessoais de clientes e funcionários (CPF, endereços, dados bancários), contratos confidenciais, documentos internos estratégicos.
Esse modelo é chamado de "dupla extorsão". Primeiro, a empresa perde acesso a todos os seus arquivos criptografados. Depois, mesmo que consiga recuperá-los por outros meios, os criminosos ainda podem ameaçar vazar publicamente os dados roubados.
Os dados são publicados no site de vazamento do grupo, chamado "VECT RANSOMWARE // DATA ARCHIVE", com contadores regressivos que aumentam a pressão psicológica sobre as vítimas.
Truque do modo silencioso
Uma das técnicas mais sofisticadas do Vect é forçar computadores infectados a reiniciarem em "Safe Mode" ou Modo de Segurança. Normalmente, esse é um modo de diagnóstico do Windows onde apenas componentes essenciais são carregados, útil quando você precisa consertar problemas do sistema.
O problema é que a maioria dos produtos de segurança não carrega no Modo de Segurança. São softwares complexos que ficam de fora para garantir que o sistema funcione de forma mínima durante diagnósticos.
O Vect explora justamente isso. Usando comandos do sistema chamados "bcdedit", ele modifica as configurações de inicialização do computador para forçá-lo a sempre ligar neste modo enfraquecido. Assim, pode criptografar arquivos sem ser detectado ou bloqueado.
Destruindo Todas as Saídas de Emergência
Antes de criptografar, o Vect também se certifica de que a vítima não terá como se recuperar facilmente. Ele encerra todos os processos que poderiam bloquear o acesso a arquivos ou permitir restauração:
- Bancos de dados (SQL Server, MySQL, Oracle) são desligados. Esses sistemas mantêm arquivos bloqueados enquanto estão rodando, impedindo que sejam modificados ou criptografados;
- Software de backup (Veeam, Commvault, Acronis) é interrompido. Essas ferramentas poderiam estar fazendo cópias dos arquivos naquele exato momento.
- Produtos de segurança são finalizados.
Em seguida, o ransomware executa comandos destrutivos como "vssadmin delete shadows /all /quiet", que apaga todas as Volume Shadow Copies — snapshots automáticos que o Windows cria dos arquivos, permitindo restaurar versões anteriores. O catálogo de backup do Windows também é deletado.
Infraestrutura invisível
Toda a operação do Vect acontece através da rede Tor (The Onion Router), um sistema que anonimiza conexões de internet fazendo os dados passarem por múltiplos servidores ao redor do mundo, cada camada criptografada como as camadas de uma cebola (daí o nome).
Os criminosos mantêm três interfaces na Tor:
- Portal de recrutamento de afiliados: onde novos criminosos pagam os US$ 250 para entrar no programa e recebem acesso ao malware e ferramentas de gerenciamento;
- Vect Secure Chat: interface de negociação onde vítimas conversam com negociadores especializados. Cada vítima recebe um UUID (Universal Unique Identifier), uma sequência única de caracteres que funciona como um número de protocolo para autenticar no sistema;
- Site de vazamento: onde dados de empresas que não pagaram são publicados com contadores regressivos.
Analistas identificaram também um servidor na internet normal (clearnet) no endereço IP 158.94.210.11 na porta 8000, aparentemente usado como alternativa de negociação.
Para comunicação entre afiliados, o grupo usa o protocolo TOX, um sistema de mensagens criptografadas peer-to-peer (ponto a ponto), sem servidores centrais que possam ser apreendidos ou rastreados por autoridades.
Quem está por trás do Vect?
Os criadores do Vect afirmam ter desenvolvido o malware completamente do zero em C++, uma linguagem de programação poderosa frequentemente usada para software que precisa de alto desempenho. Isso os diferencia de muitos grupos criminosos que simplesmente reutilizam código vazado de operações anteriores como LockBit 3.0 ou Conti.
Especialistas avaliam que a combinação de malware customizado, escolha criteriosa de algoritmos de criptografia modernos, capacidade multiplataforma focada em virtualização, técnicas avançadas de evasão e segurança operacional rigorosa indica fortemente que não são amadores.
O programa de afiliados é estruturado profissionalmente, oferecendo comissões escalonadas (quanto mais lucro você gera, maior sua porcentagem), suporte de negociadores experientes, capacidades multilíngues para atingir vítimas globalmente, e painéis de controle completos para gerenciar infecções e pagamentos.
Brasil e África do Sul são primeiras vítimas
Em janeiro de 2026, organizações de educação e manufatura no Brasil e na África do Sul foram atingidas. Os dados roubados incluíram informações pessoais completas de funcionários e clientes, registros acadêmicos, contratos comerciais e documentação interna.
Para as vítimas, isso significa não apenas a paralisação operacional imediata, mas também:
- Exposição a multas por violação da LGPD (no Brasil) ou legislações equivalentes;
- Processos judiciais de pessoas cujos dados foram expostos;
- Danos irreparáveis à reputação institucional;
- Possível roubo de identidade e fraudes financeiras contra indivíduos afetados.
As autoridades policiais de diversos países já foram notificadas sobre a operação, mas a natureza internacional, o uso extensivo de anonimização e as criptomoedas tornam investigações desafiadoras.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
