Check Point Research identificó a VECT como un grupo de ransomware cuyo funcionamiento puede derivar en pérdida permanente de información cuando actúa sobre archivos grandes, un comportamiento que altera el modelo habitual de extorsión: aun con el pago del rescate, los datos no se restauran y no existe un descifrador funcional.
La característica central del malware es que, al cifrar archivos de gran tamaño, descarta de forma permanente la información necesaria para revertir el proceso. En ese escenario, ni siquiera los atacantes podrían recuperar los contenidos porque “los medios para descifrarlo ya no existen”. El impacto potencial se concentra en archivos que suelen ser críticos para la operación empresaria, como imágenes de disco de máquinas virtuales, bases de datos, copias de seguridad y archivos comprimidos.
VECT surgió a finales de 2025 con una estrategia de escala poco habitual para este tipo de amenazas. En lugar de reclutar un grupo reducido de afiliados, estableció una alianza formal con BreachForums, definido como un mercado de ciberdelincuencia, para distribuir automáticamente el acceso a su plataforma de ransomware a todos los miembros registrados del foro. Ese esquema habilitó “miles de operadores potenciales, casi de la noche a la mañana”.
En paralelo, el grupo anunció una alianza con TeamPCP, señalado como responsable de una serie de ataques a la cadena de suministro a principios de este año que comprometieron herramientas de software populares utilizadas por empresas de todo el mundo. El objetivo declarado en BreachForums fue utilizar accesos existentes como plataforma de lanzamiento para ataques de ransomware contra organizaciones ya afectadas por esos incidentes.
El análisis técnico incluyó acceso al panel de afiliados y al creador de aplicaciones, además del estudio de tres cargas útiles. A partir de ese trabajo, se verificó que la vulnerabilidad está presente en tres versiones del software VECT (Windows, Linux y VMware ESXi) y que no se corrigió en ninguna de las versiones conocidas del malware, incluidas muestras anteriores al lanzamiento público de la versión 2.0.
La investigación también relevó deficiencias operativas: funciones anunciadas a los operadores que no funcionan, configuraciones aceptadas por el software que luego son ignoradas y herramientas de evasión integradas que “nunca se activan”. En ese marco, los investigadores consideraron más probable que se trate de un grupo de novatos que de operadores experimentados, y señalaron que no se puede descartar que partes del código fuente se hayan generado con ayuda de IA.
Para organizaciones que ya hayan sido víctimas, la recomendación es explícita: “No pague el rescate”. Para quienes no hayan sido atacados, el riesgo persiste porque los datos pueden ser exfiltrados antes del cifrado y una futura versión corregida, distribuida a través de una red con miles de afiliados, podría resultar “significativamente más peligrosa”.
