Aggiungi ai preferiti
Check Point Research (CPR), la divisione di Threat Intelligence di Check Point Software Technologies Ltd., pioniere e leader globale nelle soluzioni di sicurezza informatica, ha recentemente pubblicato i risultati di un’indagine su VECT, un nuovo gruppo di ransomware in grado di distruggere definitivamente i file di grandi dimensioni invece di crittografarli.
Le vittime che pagano il riscatto non possono recuperare i propri dati. Non esiste alcun strumento di decrittografia.
VECT è emerso alla fine del 2025 con un approccio insolito: invece di reclutare un piccolo gruppo selezionato di partner criminali secondo il modello tradizionale del ransomware, ha aperto le porte a tutti.
Attraverso una partnership formale con BreachForums, un importante mercato del crimine informatico, VECT ha distribuito automaticamente l’accesso alla propria piattaforma ransomware a ogni membro registrato del forum: migliaia di potenziali operatori.
Allo stesso tempo, VECT ha annunciato una partnership con TeamPCP, il gruppo responsabile di una serie di attacchi alla catena di approvvigionamento all’inizio di quest’anno che hanno compromesso strumenti software popolari utilizzati dalle aziende di tutto il mondo.
L’obiettivo dichiarato, annunciato apertamente su BreachForums, era quello di utilizzare quell’accesso come trampolino di lancio per attacchi ransomware contro le aziende già colpite.
Check Point Research ha ottenuto l’accesso al pannello di affiliazione e al builder, ha analizzato tutti e tre i payload e ha scoperto che il loro software è difettoso in un modo che lo rende molto più distruttivo e molto meno redditizio di quanto previsto.
“I nostri ricercatori ritengono che VECT sia più probabilmente opera di nuovi arrivati che di operatori di ransomware esperti. Il modello di errori, identico su ogni piattaforma e non corretto in nessuna versione, non è coerente con un gruppo esperto. Non si può escludere la possibilità che parti del codice siano state generate con l’aiuto dell’intelligenza artificiale, il che aiuterebbe a spiegare come un gruppo possa produrre qualcosa che sembra credibile in superficie ma che nasconde errori fondamentali”.
Pierluigi Torriani – Security Engineering Manager
Il ransomware dovrebbe essere reversibile. L’autore dell’attacco blocca i file, detiene la chiave e la restituisce una volta effettuato il pagamento. Questo è il modello di business.
Il software di VECT rompe completamente questo modello, non per scelta, ma per errore. Quando VECT crittografa file di grandi dimensioni, e praticamente ogni file rilevante per un’azienda rientra in questa categoria, elimina in modo permanente le informazioni necessarie per invertire il processo.
Non c’è nessuna chiave da restituire. L’autore dell’attacco non può fornire un decryptor funzionante, non perché non sia disposto a farlo, ma perché i mezzi per decriptare non esistono più da nessuna parte.
Questo riguarda le immagini di macchine virtuali, i database, i backup e gli archivi. Per questi tipi di file, VECT non è un ransomware. È un cancellatore di dati con una richiesta di riscatto allegata.
Check Point Research conferma che questa vulnerabilità è presente in tutte e tre le versioni del software VECT (Windows, Linux e VMware ESXi) ed è stata riscontrata in ogni versione nota del malware, compresi i campioni precedenti al rilascio pubblico della versione 2.0. Non è mai stata corretta.
“VECT ha investito molto per apparire legittimo, e nonostante il pannello di affiliazione sia ben progettato, le partnership siano reali e Il marketing curato, diverse funzionalità che il gruppo promuove agli operatori semplicemente non funzionano. Le impostazioni relative alla velocità di crittografia, offerte come un modo per bilanciare velocità e completezza, vengono accettate dal software e poi ignorate silenziosamente. Ogni attacco viene eseguito in modo identico, indipendentemente dalle impostazioni scelte dall’operatore”.
Esistono inoltre prove che suggeriscono che VECT possa essere basato su un codice sorgente di ransomware trapelato prima del 2022, piuttosto che scritto da zero come sostiene il gruppo. Un indicatore rivelatore è una scelta insolita di geofencing: il software di VECT è configurato per evitare di attaccare obiettivi in Ucraina, un paese che la maggior parte dei gruppi di ransomware di lingua russa ha smesso di proteggere dopo la guerra del 2022.
Il mantenimento di tale esclusione indica un codice ereditato da una fonte più vecchia, non una posizione ideologica deliberata da parte degli attuali operatori.
“Se siete stati colpiti, il consiglio è di non pagare. Per i file di grandi dimensioni, che includono la stragrande maggioranza dei dati critici per l’azienda, non esiste un decryptor funzionante e non ci sarà mai. Pagare trasferisce denaro ai criminali e non restituisce nulla. Se, invece, non siete stati colpiti, è bene sapere che gli attuali limiti di VECT non lo rendono innocuo. I dati possono ancora essere sottratti prima che venga eseguita la crittografia. I sistemi continuano a bloccarsi. E le vulnerabilità identificate sono correggibili: una versione futura che le risolva, distribuita attraverso la stessa rete che conta già migliaia di affiliati, sarebbe significativamente più pericolosa. Vale la pena tenere d’occhio questo gruppo”.
Le organizzazioni esposte ai recenti attacchi alla catena di approvvigionamento di TeamPCP, che hanno preso di mira strumenti di sviluppo ampiamente utilizzati tra cui Trivy, KICS, LiteLLM e Telnyx, dovrebbero considerare la rotazione delle credenziali una priorità immediata.
Check Point Threat Emulation e Harmony Endpoint forniscono una protezione completa contro tutte le varianti note di VECT negli ambienti Windows, Linux ed ESXi.
È disponibile scaricare qui il rapporto completo di Check Point Research.