Check Point lancia l’allarme sulle anomalie presentate dal ransomware VECT: distrugge i file di grandi dimensioni e pagare non serve a riavere i propri file. VECT è emerso alla fine del 2025 con un approccio insolito: invece di reclutare un piccolo gruppo selezionato di partner criminali secondo il modello tradizionale del ransomware, ha aperto le porte a tutti. Attraverso una partnership formale con BreachForums, un importante mercato del crimine informatico, VECT ha distribuito automaticamente l’accesso alla propria piattaforma ransomware a ogni membro registrato del forum.
Le caratteristiche di VECT
Allo stesso tempo, VECT ha annunciato una partnership con TeamPCP, il gruppo responsabile di una serie di attacchi alla catena di approvvigionamento all’inizio di quest’anno che hanno compromesso strumenti software popolari utilizzati dalle aziende. L’obiettivo dichiarato era quello di utilizzare quell’accesso come trampolino di lancio per attacchi ransomware contro le aziende già colpite. Check Point Research ha ottenuto l’accesso al pannello di affiliazione e al builder. Poi ha analizzato tutti e tre i payload e ha scoperto che il loro software è difettoso in un modo che lo rende molto più distruttivo e molto meno redditizio di quanto previsto.
Pericoloso ma poco redditizio
Pierluigi Torriani, Security Engineering Manager
I nostri ricercatori ritengono che VECT sia più probabilmente opera di nuovi arrivati che di operatori di ransomware esperti. Il modello di errori, identico su ogni piattaforma e non corretto in nessuna versione, non è coerente con un gruppo esperto. Non si può escludere la possibilità che parti del codice siano state generate con l’aiuto dell’intelligenza artificiale. Questo spiegherebbe come un gruppo possa produrre qualcosa che sembra credibile in superficie ma che nasconde errori fondamentali.
Il ransomware VECT non è reversibile
Infatti l’autore dell’attacco blocca i file, detiene la chiave e la restituisce una volta effettuato il pagamento. Questo è il modello di business. Il software di VECT rompe completamente questo modello, non per scelta, ma per errore. Quando VECT crittografa file di grandi dimensioni, elimina in modo permanente le informazioni necessarie per invertire il processo. Non c’è nessuna chiave da restituire. L’autore dell’attacco non può fornire un decryptor funzionante, non perché non sia disposto a farlo, ma perché i mezzi per decriptare non esistono più da nessuna parte.
Cancellare tutti i dati
Questo riguarda le immagini di macchine virtuali, i database, i backup e gli archivi. Per questi tipi di file, VECT non è un ransomware. È un cancellatore di dati con una richiesta di riscatto allegata. Check Point Research conferma che questa vulnerabilità è presente in tutte e tre le versioni del software VECT (Windows, Linux e VMware ESXi). Riscontrata inoltre in ogni versione nota del malware, compresi i campioni precedenti al rilascio pubblico della versione 2.0 e mai corretta.
Pierluigi Torriani, Security Engineering Manager
VECT ha investito molto per apparire legittimo. Nonostante il pannello di affiliazione sia ben progettato, le partnership siano reali e Il marketing curato, diverse funzionalità che il gruppo promuove agli operatori semplicemente non funzionano. Le impostazioni relative alla velocità di crittografia, offerte come un modo per bilanciare velocità e completezza, vengono accettate dal software e poi ignorate silenziosamente. Ogni attacco viene eseguito in modo identico, indipendentemente dalle impostazioni scelte dall’operatore.
Ecco le prove
Esistono inoltre prove che suggeriscono che VECT possa essere basato su un codice sorgente di ransomware trapelato prima del 2022, piuttosto che scritto da zero come sostiene il gruppo. Un indicatore rivelatore è una scelta insolita di geofencing. Il software di VECT è configurato per evitare di attaccare obiettivi in Ucraina, un paese che la maggior parte dei gruppi di ransomware di lingua russa ha smesso di proteggere dopo la guerra del 2022. Il mantenimento di tale esclusione indica un codice ereditato da una fonte più vecchia, non una posizione ideologica deliberata da parte degli attuali operatori.
Se siete colpiti da VECT, non pagate
Pierluigi Torriani, Security Engineering Manager
Se siete stati colpiti, il consiglio è di non pagare. Per i file di grandi dimensioni non esiste un decryptor funzionante e non ci sarà mai. Pagare trasferisce denaro ai criminali e non restituisce nulla. Se, invece, non siete colpiti, è bene sapere che gli attuali limiti di VECT non lo rendono innocuo. I dati possono ancora essere sottratti prima che venga eseguita la crittografia. I sistemi continuano a bloccarsi. E le vulnerabilità identificate sono correggibili. Una versione futura che le risolva, distribuita attraverso la stessa rete che conta già migliaia di affiliati, sarebbe significativamente più pericolosa. Vale la pena tenere d’occhio questo gruppo.
Cosa offre Check Point
Le organizzazioni esposte ai recenti attacchi alla catena di approvvigionamento di TeamPCP, che hanno preso di mira strumenti di sviluppo ampiamente utilizzati tra cui Trivy, KICS, LiteLLM e Telnyx, dovrebbero considerare la rotazione delle credenziali una priorità immediata. Check Point Threat Emulation e Harmony Endpoint forniscono una protezione completa contro tutte le varianti note di VECT negli ambienti Windows, Linux ed ESXi.
