NO PAGUE EL RESCATE. VECT DESTRUYE PERMANENTEMENTE LOS ARCHIVOS GRANDES EN LUGAR DE BLOQUEARLOS. NI SIQUIERA LOS ATACANTES PUEDEN RECUPERARLOS. EL PAGO NO RESTAURARÁ SUS DATOS.
Una nueva amenaza con una estrategia ambiciosa.
VECT surgió a finales de 2025 con una ambición inusual: en lugar de reclutar a un pequeño grupo selecto de socios criminales, como en el modelo tradicional de ransomware, abrió sus puertas a todo el mundo. Mediante una alianza formal con BreachForums, un importante mercado de ciberdelincuencia, VECT distribuyó automáticamente el acceso a su plataforma de ransomware a todos los miembros registrados del foro. Miles de operadores potenciales, casi de la noche a la mañana.
Al mismo tiempo, VECT anunció una alianza con TeamPCP, el grupo responsable de una serie de ataques a la cadena de suministro a principios de este año que comprometieron herramientas de software populares utilizadas por empresas de todo el mundo. El objetivo declarado, anunciado abiertamente en BreachForums, era utilizar ese acceso existente como plataforma de lanzamiento para ataques de ransomware contra empresas ya afectadas por dichos ataques. Sobre el papel, esto parecía una amenaza grave y escalable.
En la práctica, Check Point Research obtuvo acceso al panel de afiliados y al creador de aplicaciones, analizó las tres cargas útiles y descubrió algo que los propios operadores del grupo quizás desconozcan: su software está defectuoso de una manera que lo hace mucho más destructivo y mucho menos rentable de lo previsto.
Nuestros investigadores también creen que VECT es más probable que sea obra de novatos que de operadores de ransomware experimentados. El patrón de errores, idéntico en todas las plataformas y sin corregir en todas las versiones, no es consistente con un grupo experimentado. No se puede descartar la posibilidad de que partes del código fuente se hayan generado con ayuda de IA, lo que ayudaría a explicar cómo un grupo pudo producir algo que parece creíble en la superficie, pero que contiene errores fundamentales en su interior.
El fallo crítico: Es un borrador de datos, no un ransomware.
Se supone que el ransomware es reversible. El atacante bloquea tus archivos, retiene la clave y la devuelve cuando pagas. Ese es el modelo de negocio. El software de VECT rompe este modelo por completo, no intencionadamente, sino por error.
Cuando VECT cifra archivos grandes, y prácticamente todos los archivos importantes para una empresa cumplen los requisitos, descarta permanentemente la información necesaria para revertir el proceso. No hay clave que devolver. El atacante no puede proporcionar un descifrador que funcione, no porque no quiera, sino porque los medios para descifrarlo ya no existen.
Esto afecta a los archivos que los grupos de ransomware suelen usar como su principal arma: imágenes de máquinas virtuales, bases de datos, copias de seguridad y archivos comprimidos. Para este tipo de archivos, VECT no es ransomware. Es un borrador de datos con una nota de rescate adjunta.
Check Point Research confirmó que esta vulnerabilidad existe en las tres versiones del software VECT (Windows, Linux y VMware ESXi) y ha estado presente en todas las versiones conocidas del malware, incluidas muestras anteriores al lanzamiento público de la versión 2.0. Nunca se ha corregido.
Apariencia profesional, graves deficiencias
VECT ha invertido mucho en proyectar una imagen de legitimidad. El panel de afiliados está bien diseñado. Las alianzas son reales. El marketing es impecable. Pero el análisis del código real revela una historia diferente.
Varias funciones que el grupo anuncia a los operadores simplemente no funcionan. La configuración de velocidad de cifrado, ofrecida como una forma de equilibrar velocidad y exhaustividad, es aceptada por el software y luego ignorada silenciosamente. Todos los ataques se ejecutan de forma idéntica, independientemente de la configuración que elija el operador.
Las herramientas de evasión de seguridad diseñadas para ayudar a VECT a evitar la detección se integraron y compilaron en el software, pero nunca se activan. Cualquier investigador de seguridad puede ejecutar VECT hoy mismo sin que el malware responda con evasión.
Estos no son descuidos menores. Son el tipo de errores que se detectarían con pruebas básicas, y sugieren que el grupo ha priorizado la apariencia de una operación profesional sobre su desarrollo.
También hay indicios de que VECT podría estar basado en un código fuente de ransomware filtrado anterior a 2022, en lugar de haber sido escrito desde cero, como afirma el grupo. Un indicador revelador es una elección inusual de geovallado: el software de VECT está configurado para evitar atacar objetivos en Ucrania, un país que la mayoría de los grupos de ransomware de habla rusa dejaron de proteger tras la guerra de 2022. Mantener esa exclusión apunta a un código heredado de una fuente anterior, y no a una postura ideológica deliberada por parte de los operadores actuales.
Qué significa esto para su organización
Si ha sido víctima:
No pague. Para archivos grandes, que incluyen la gran mayoría de los datos críticos para el negocio, no existe ni existirá un descifrador funcional. Pagar solo transfiere dinero a los delincuentes y no le reporta ningún beneficio. Céntrese en la recuperación a partir de copias de seguridad limpias y contacte inmediatamente con su equipo de respuesta a incidentes.
Si no ha sido víctima:
Las limitaciones actuales de VECT no lo hacen inofensivo. Los datos aún pueden ser exfiltrados antes de que se ejecute el cifrado. Los sistemas siguen fallando. Y aunque las vulnerabilidades identificadas son corregibles, una futura versión que las solucione, distribuida a través de la misma red que ya cuenta con miles de afiliados, sería significativamente más peligrosa. Este grupo merece ser vigilado.
Las organizaciones expuestas a los recientes ataques a la cadena de suministro de TeamPCP, que afectaron a herramientas de desarrollo ampliamente utilizadas como Trivy, KICS, LiteLLM y Telnyx, deben priorizar la rotación de credenciales de inmediato. Check Point Threat Emulation y Harmony Endpoint proporcionan protección completa contra todas las variantes conocidas de VECT en entornos Windows, Linux y ESXi.
