Negli ultimi mesi il gruppo dietro Vect ha attirato l’attenzione per alleanze rumorose, come la partnership con TeamPCP e la distribuzione di accessi tramite BreachForums. Tuttavia, le indagini tecniche condotte da Check Point Research rivelano che dietro al marketing si nasconde un difetto sostanziale: una vulnerabilità nell’implementazione della cifratura che rende molti file irrimediabilmente illeggibili. In questo articolo esaminiamo le scoperte principali, il funzionamento errato del motore crittografico e le conseguenze pratiche per le organizzazioni colpite.
La versione 2.0 di Vect, pubblicata a febbraio 2026 e analizzata nel dettaglio da CPR, è disponibile in varianti per Windows, Linux e ESXi. L’analisi mostra che, per file superiori a 131.072 byte (ossia 128 KB), il malware esegue una procedura che ne compromette la reversibilità: vengono generati diversi nonce temporanei ma solo l’ultimo viene salvato, rendendo impossibile la decriptazione delle porzioni iniziali dei file.
La natura del difetto crittografico
Contrariamente a quanto riportato in alcuni post iniziali e nella pubblicità degli autori, Vect utilizza il flusso di cifratura ChaCha20-IETF senza autenticazione, non la costruzione ChaCha20-Poly1305 con tag AEAD. Questo significa che non viene prodotto alcun MAC per verificare l’integrità dei dati. Peggio: per i file “grandi” il codice suddivide il file in quattro chunk, genera quattro nonce casuali e salva sul disco solo l’ultimo. I primi tre nonce vengono scartati, rendendo irreversibile la cifratura di quei chunk anche per gli stessi attaccanti.
Perché questo trasforma Vect in un wiper
La logica di cifratura impiegata da Vect richiede la corrispondenza esatta tra chiave e nonce per riprodurre il flusso e recuperare i dati.
Eliminando tre dei quattro nonce, il malware non lascia all’operatore alcuna informazione sufficiente per costruire un decryptor funzionante per file oltre 128 KB. In pratica, per la maggior parte delle risorse aziendali — immagini di macchine virtuali, database, backup, archivi — la perdita è definitiva: il comportamento è quello di un wiper, non di un tradizionale ransomware che consente la recuperabilità dietro pagamento.
Altri errori e indizi su sviluppo e distribuzione
Oltre alla lacuna sui nonce, l’analisi ha evidenziato una serie di incongruenze: modalitá di velocità (–fast, –medium, –secure) dichiarate nel pannello di controllo che in realtà vengono interpretate e poi ignorate, moduli di evasione inseriti ma mai attivati e codice anti-analisi che risulta inaccessibile. Questi segnali suggeriscono una cura dell’immagine pubblica superiore a quella applicata allo sviluppo tecnico.
CPR sospetta inoltre che il progetto possa derivare da una base di codice trapelata risalente al 2026, dato che il comportamento di geofencing esclude paesi come l’Ucraina, caratteristica tipica di codici più datati.
Diffusione, partnership e vettori d’attacco
La visibilità di Vect è aumentata dopo la partnership annunciata con TeamPCP e la condivisione delle chiavi di accesso con gli utenti di BreachForums. TeamPCP è noto per aver compromesso catene di fornitura: a marzo 2026 sono state segnalate iniezioni malevole in strumenti come Trivy di Aqua Security, KICS di Checkmarx, LiteLLM e servizi di Telnyx. Tuttavia, al momento della segnalazione (aprile 2026) il sito di leak di Vect mostra poche vittime ufficiali, tutte correlate a quelle campagne di supply chain.
Cosa devono fare le organizzazioni
Il messaggio principale di Check Point Research è netto: in caso di incidente con Vect il pagamento del riscatto non è una strategia di recupero valida per file oltre 128 KB, perché non esiste un decryptor possibile per quelle porzioni perdute. Le contromisure pratiche includono l’adozione di backup offline e verificati, piani di ripristino testati, contenimento rapido e la rotazione immediata delle credenziali se si sospetta una compromissione della supply chain.
Inoltre, le realtà che hanno utilizzato strumenti colpiti da TeamPCP dovrebbero condurre una revisione completa dei sistemi, iterare le regole di accesso e cambiare segreti e chiavi compromesse. Infine, va tenuto presente che, sebbene l’attuale rilascio di Vect presenti difetti tecnici che facilitano l’analisi, questi errori potrebbero essere corretti in futuro: un progetto con la visibilità e la collaborazione che ha ottenuto nel 2026 merita monitoraggio continuo.
