O ransomware Vect foi identificado em janeiro afetando empresas brasileiras dos setores de educação e manufatura. Ele roubou até 150 GB de dados sensíveis, usando um modelo de ataque Ransomware-as-a-Service que divide lucros entre desenvolvedores e afiliados.
O vírus utiliza a criptografia ChaCha20-Poly1305, mais rápida que a convencional, e ataca diferentes sistemas, incluindo Linux e ambientes virtualizados. Além de sequestrar dados, a ameaça envolve dupla extorsão com divulgação pública dos arquivos roubados na rede Tor.
O vírus realiza reconhecimento interno da rede para evitar detecção e usa criptomoedas para dificultar rastreamento financeiro. A ação representa um novo desafio para a segurança das empresas brasileiras.
Uma nova ameaça em cibersegurança chamada Vect foi identificada em janeiro, afetando empresas dos setores de educação e manufatura no Brasil e na África do Sul. O ransomware conseguiu roubar até 150 gigabytes de dados, incluindo informações pessoais sensíveis e documentos internos. O Vect opera no modelo Ransomware-as-a-Service (RaaS), em que desenvolvedores criam o malware e afiliados aplicam os ataques, compartilhando os lucros.
Para participar, os criminosos pagam US$ 250 em Monero, criptomoeda que oferece anonimato nas transações, dificultando rastreamento financeiro. A escolha dessa moeda indica conhecimento avançado em segurança operacional.
O Vect ransomware se destaca pelo uso do algoritmo de criptografia ChaCha20-Poly1305, que é mais rápido que o AES-256 em sistemas sem aceleração de hardware. Isso acelera a criptografia dos arquivos, reduzindo o tempo para que as equipes de defesa ajam.
Diferente de outros ransomwares focados apenas em Windows, Vect também ataca Linux e VMware ESXi, podendo paralisar ambientes virtualizados. Ele explora serviços expostos como RDP e VPN e usa técnicas como phishing e credential dumping para obter acesso privilegiado.
Antes da criptografia, o vírus realiza um amplo reconhecimento da rede, se movimentando lateralmente e encerrando processos que poderiam impedir o ataque, como bancos de dados, softwares de backup e antivírus. Também força o computador a iniciar em modo de segurança, dificultando a detecção.
Além do sequestro dos dados, o método de dupla extorsão do Vect inclui a ameaça de divulgação pública dos arquivos roubados em um site na rede Tor, aumentando a pressão sobre as vítimas para pagamento.
Via TecMundo
