Uma nova operação de ransomware identificada pela RedPiranha, batizada de Vect, começou a ganhar tração no início de janeiro, com vítimas confirmadas no Brasil e na África do Sul. Os primeiros alvos pertencem aos setores de educação e manufatura, e os roubos de dados chegaram a volumes de até 150 GB por organização.
Ransomware como serviço e modelo de franquia
O Vect opera no modelo conhecido como Ransomware-as-a-Service (RaaS). Nesse formato, os desenvolvedores são responsáveis pela criação do malware e pela infraestrutura técnica, enquanto afiliados executam os ataques. Os lucros obtidos com os resgates são divididos entre os participantes da operação.
Para ingressar no programa de afiliados, os criminosos precisam pagar uma taxa de US$ 250 em Monero, criptomoeda focada em privacidade. Diferentemente do Bitcoin, o Monero oculta remetente, destinatário e valor das transações, dificultando investigações financeiras. Segundo analistas de segurança, o uso exclusivo dessa moeda indica um alto nível de preocupação com anonimato e segurança operacional.
Criptografia rápida e eficiente
Do ponto de vista técnico, o Vect se destaca pelo uso do algoritmo de criptografia ChaCha20-Poly1305. Enquanto a maioria dos ransomwares utiliza AES-256, o ChaCha20 foi projetado para ter alto desempenho mesmo em sistemas sem aceleração de hardware.
De acordo com análises técnicas, esse algoritmo pode ser cerca de 2,5 vezes mais rápido que o AES-256-GCM em ambientes mais simples. Na prática, isso reduz o tempo necessário para criptografar grandes volumes de dados, diminuindo a janela de resposta das equipes de segurança.
Ataques a Windows, Linux e VMware ESXi
Outro diferencial do Vect é sua capacidade multiplataforma. O ransomware foi desenvolvido para atacar sistemas Windows, Linux e ambientes VMware ESXi.
O foco em ESXi é especialmente crítico para empresas, já que essa plataforma de virtualização concentra múltiplos servidores virtuais em poucas máquinas físicas. Ao criptografar arquivos VHD, que funcionam como discos rígidos virtuais, o Vect consegue paralisar toda a infraestrutura corporativa de uma só vez.
Como funciona um ataque do Vect
Os ataques seguem um padrão bem definido. O acesso inicial costuma ocorrer por meio de serviços expostos na internet, como RDP e VPNs mal configuradas, além de campanhas de phishing que induzem funcionários a revelar credenciais ou executar arquivos maliciosos.
Após a invasão, os atacantes buscam privilégios administrativos usando técnicas de roubo de credenciais, explorando memória e arquivos de configuração. Em seguida, realizam um mapeamento completo do ambiente, identificando servidores de arquivos, sistemas de backup, bancos de dados e plataformas de virtualização.
O ransomware se movimenta lateralmente pela rede usando ferramentas legítimas de administração, como SMB e WinRM, o que dificulta a distinção entre atividades maliciosas e ações normais de TI.
Dupla extorsão como estratégia central
Antes da criptografia, o Vect realiza o roubo de grandes volumes de dados sensíveis, incluindo informações pessoais, documentos internos, contratos e registros estratégicos. Esse método caracteriza a chamada dupla extorsão.
Mesmo que a empresa consiga restaurar os sistemas por meio de backups, ainda enfrenta a ameaça de vazamento público dos dados. As informações são publicadas no site do grupo, identificado como “VECT RANSOMWARE // DATA ARCHIVE”, acompanhado de contadores regressivos para pressionar as vítimas.
Modo de segurança como técnica de evasão
Uma das técnicas mais avançadas do Vect envolve forçar o reinício dos sistemas em Modo de Segurança do Windows. Nesse modo, grande parte dos softwares de segurança não é carregada.
O ransomware altera as configurações de inicialização usando comandos como bcdedit, garantindo que o sistema reinicie sempre nesse ambiente reduzido. Isso permite a criptografia dos arquivos com menor chance de detecção ou bloqueio.
Eliminação de backups e mecanismos de recuperação
Antes de iniciar a criptografia, o Vect encerra processos críticos que poderiam impedir o ataque ou facilitar a recuperação. Bancos de dados, softwares de backup e soluções de segurança são finalizados.
Na sequência, comandos como “vssadmin delete shadows /all /quiet” são executados para apagar as cópias de sombra do Windows, eliminando pontos de restauração e dificultando ainda mais a recuperação dos dados.
Infraestrutura anônima e comunicação protegida
Toda a operação do Vect é sustentada pela rede Tor, que anonimiza conexões por meio de múltiplas camadas de criptografia. O ecossistema inclui um portal de recrutamento de afiliados, um sistema de negociação com vítimas baseado em identificadores únicos e um site de vazamento de dados.
Analistas também identificaram um servidor acessível pela internet convencional, possivelmente usado como canal alternativo de negociação. Para comunicação interna entre afiliados, o grupo utiliza o protocolo TOX, que opera de forma descentralizada e criptografada.
Um grupo com alto nível de profissionalização
Os operadores do Vect afirmam que o malware foi desenvolvido do zero em C++, sem reutilização de códigos vazados de outras operações conhecidas. Especialistas avaliam que a combinação de código próprio, criptografia moderna, foco em virtualização e técnicas avançadas de evasão indica um grupo experiente e bem estruturado.
O programa de afiliados segue um padrão profissional, com comissões escalonadas, suporte especializado para negociação, operação multilíngue e painéis completos para gerenciamento de ataques e pagamentos.
Impacto inicial no Brasil e na África do Sul
Em janeiro de 2026, organizações brasileiras e sul-africanas dos setores de educação e manufatura foram as primeiras vítimas conhecidas. Os dados roubados incluíram informações pessoais, registros acadêmicos, contratos e documentação interna.
Além da interrupção operacional, as empresas afetadas enfrentam riscos legais, multas relacionadas à LGPD e legislações similares, processos judiciais, danos à reputação e possíveis fraudes contra indivíduos cujos dados foram expostos.
Autoridades de diferentes países já foram notificadas, mas a natureza global da operação, aliada ao uso intensivo de anonimização e criptomoedas, torna as investigações complexas e demoradas.
