El ransomware Vect 2.0 destruye archivos permanentemente debido a un error de diseño
Esta nueva versión de un ransomware emergente resulta ser mucho más destructiva de lo previsto, actuando como un limpiador que elimina los archivos capturados en lugar de cifrarlos. El escenario impide la recuperación para las víctimas y complica el cobro del rescate para los ciberdelincuentes.
La variante Vect 2.0, surgida en el mes de diciembre, presenta un fallo en sus versiones para Windows, Linux y VMware ESXi, el cual destruye accidentalmente archivos grandes, según han reportado expertos en seguridad. Para archivos de 128 Kb o más, Vect funciona como un wiper de archivos críticos, incluyendo bases de datos y respaldos.
Los expertos han confirmado que el error descarta tres de cuatro códigos de descifrado por cada archivo superior a 131.072 bytes en todas las plataformas. El error reside en el esquema llamado ChaCha20-IETF; el malware cifra cuatro fragmentos independientes del archivo utilizando cuatro códigos aleatorios de 12 bytes, pero solo adjunta el último al disco.
Los primeros tres códigos, necesarios para el descifrado, se generan y descartan silenciosamente sin almacenarse ni transmitirse. ChaCha20-IETF exige la clave y el código exacto para desbloquear cada segmento, por lo que tres cuartas partes de cada archivo grande son irrecuperables, incluso para los operadores.
Dado que los archivos operativos críticos superan este umbral, Vect 2.0 es un limpiador con fachada de ransomware. La variante muestra otras deficiencias técnicas, como modos de cifrado nunca aplicados y rutinas de ofuscación que se anulan entre sí, evidenciando una implementación incompleta.
Igualmente, tanto atacantes como defensores son igualmente afectados. Por esta razón, es probable que los operadores no buscaran crear un wiper, ya que esto disminuye el incentivo del pago del rescate, como lo explican los expertos. Para los defensores y trabajadores de seguridad, la situación empeora, debido a que no van a poder recuperar sus datos ni pagando.
Las víctimas que ceden no obtienen un descifrador funcional, ya que la información necesaria se destruyó al cifrar. Los especialistas enfatizan la importancia de reportar esto para que las empresas no descubran la pérdida luego de pagar. En esencia, quien paga no recibe nada.
Esto es grave, ya que Vect ataca sectores con baja tolerancia al tiempo de inactividad, como salud y manufactura, donde la destrucción de archivos causa daños irreversibles. Vect apareció en foros rusos a finales del año pasado y cobró sus primeras víctimas en el mes de enero de 2026.
En tiempos recientes, se alió con TeamPCP, responsables de ataques a la cadena de suministro en software como Trivy y LiteLLM. Después de estos ataques, Vect anunciaba en BreachForums su intención de explotar a las organizaciones afectadas. Investigadores señalaron que la alianza les daría acceso a millones de víctimas potenciales por medio del troyano de TeamPCP. No obstante, el fallo en Vect 2.0 arruina sus planes de lucro.
Los hallazgos de los especialistas dibujan a un grupo con gran ambición operativa, pero con una madurez criptográfica y de ingeniería de software que no está a la altura de la escala que pretenden ejecutar. Sin embargo, exhortan a las compañías a tener precauciones extremas.
Como pagar no sirve, las corporaciones deben enfocarse en prevención y preparación. Los expertos sugieren desde capacitación en ingeniería social hasta gestión de vulnerabilidades y monitoreo con EDR. Además, los defensores deben mantener respaldos inmutables fuera de línea y probar su restauración de forma regular.
