VECT 2.0 ransomware: il bug fatale che distrugge i file per sempre
Un difetto di progettazione trasforma VECT 2.0 in un wiper: file oltre 131KB distrutti irreversibilmente. Pagare il riscatto non recupera nulla. Ecco l'analisi.
Contenuto
Il 28 aprile 2026 Check Point Research ha rivelato una falla critica nel ransomware VECT 2.0: un errore di progettazione nell'algoritmo di cifratura distrugge irreversibilmente tutti i file superiori a 131.072 byte. La scoperta cambia radicalmente la natura della minaccia: ciò che viene venduto come ransomware-as-a-service funziona di fatto come wiper per la maggior parte dei dati aziendali sensibili.
Il difetto tecnico: tre nonces persi per sempre
L'analisi tecnica di Check Point Research ha evidenziato un problema nell'implementazione della cifratura ChaCha20-IETF. Il malware divide i file di dimensioni superiori a 131.072 byte in quattro chunk indipendenti, ciascuno cifrato con un nonce univoco. Tuttavia, il codice genera e utilizza i primi tre nonces per cifrare i rispettivi blocchi, ma li scarta silenziosamente senza registrarli.
"The first three nonces, each required to decrypt its respective chunk, are generated, used, and silently discarded." — Check Point Research analysis
Il risultato è che anche gli autori dell'attacco non possiedono le chiavi necessarie per decifrare i file colpiti. Senza quei tre nonces, il quarto blocco è l'unico teoricamente recuperabile, ma rappresenta solo una frazione del file originale.
Un modello di business minato alla base
VECT ha lanciato il suo programma di affiliazione RaaS nel dicembre 2025, chiedendo una quota di ingresso di 250 dollari per nuovi affiliati fuori dalla CSI. Nel gennaio 2026 il gruppo ha iniziato il targeting attivo, rivendicando vittime in Sudafrica e Brasile. Secondo Ransomware.live, il gruppo vanta attualmente 25 vittime note.
La scoperta del bug fatale invalida however l'intera proposta di valore del servizio. "VECT is being marketed as ransomware, but for any file over 131KB – which is most of what enterprises actually care about – it functions as a data destruction tool" — ha spiegato Eli Smadja di Check Point Research.
La contraddizione con le analisi precedenti
Fino al 27 marzo 2026, le analisi tecniche disponibili descrivevano VECT come un ransomware convenzionale. Le fonti dell'epoca riportavano l'uso di ChaCha20-Poly1305 AEAD, un algoritmo autenticato che avrebbe permesso il recupero dei dati. La nota di riscatto '!!!_READ_ME_!!!.txt' prometteva un decryptor funzionante dopo il pagamento.
L'analisi del 28 aprile 2026 corregge radicalmente questa visione: il malware utilizza in realtà ChaCha20-IETF non autenticato, e il difetto di implementazione rende tecnicamente impossibile mantenere la promessa per qualsiasi file superiore alla soglia dei 131.072 byte.
Implicazioni per la risposta agli incidenti
Per i CISO e i team di sicurezza, la scoperta impone una rivalutazione completa delle strategie di negoziazione. Le linee guida tradizionali prevedono talvolta la valutazione del pagamento come opzione di recupero estremo quando i backup non sono disponibili.
In un incidente VECT, questa opzione è inesistente. "CISOs need to understand that in a VECT incident, paying is not a recovery strategy." — ha sottolineato Eli Smadja di Check Point Research.
La protezione si riduce ai fondamentali: backup offline verificati, segmentazione di rete, e monitoraggio proattivo delle infrastrutture Windows, Linux e ESXi, tutte piattaforme target del malware secondo le analisi.
Domande frequenti
- Cosa distingue VECT 2.0 da altri ransomware?
- VECT 2.0 contiene un difetto di programmazione che lo trasforma in un wiper: i file superiori a 131.072 byte vengono distrutti irreversibilmente, rendendo impossibile il recupero anche pagando il riscatto.
- È possibile recuperare i file cifrati da VECT 2.0?
- No, per i file superiori a 131KB il recupero è tecnicamente impossibile perché i nonces necessari per la decifratura vengono scartati dal malware stesso.
- Quali sistemi operativi sono colpiti da VECT 2.0?
- Secondo le analisi, VECT 2.0 colpisce sistemi Windows, Linux e ESXi.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/vect-20
- https://thehackernews.com/2026/04/vect-20-ransomware-irreversibly.html
- https://www.ransomware.live/group/vect
- https://www.halcyon.ai/ransomware-alerts/emerging-ransomware-group-vect
- https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/vect