Il panorama delle minacce informatiche continua a evolversi, ma il caso di VECT segna un punto di rottura rispetto ai modelli tradizionali. Secondo un’analisi di Check Point Software Technologies (DISPONIBILE QUI), questo nuovo ransomware non si limita a bloccare i dati: in molti casi li distrugge definitivamente, rendendo impossibile qualsiasi recupero anche dopo il pagamento.
Un ransomware che rompe le regole
Nel modello classico, il ransomware funziona come un “business”: i file vengono cifrati e restituiti dietro pagamento di un riscatto. VECT, invece, sovverte questa logica.
Quando colpisce file di grandi dimensioni – come database, backup o immagini di macchine virtuali – elimina le informazioni necessarie alla decrittazione. In altre parole, non esiste alcuna chiave da restituire. Anche volendo, gli attaccanti non possono ripristinare i dati.
Questo trasforma VECT, di fatto, in qualcosa di diverso: un distruttore di dati con richiesta di riscatto allegata.
Un modello aperto e altamente rischioso
Il gruppo dietro VECT è emerso alla fine del 2025 con un approccio inedito. Invece di limitarsi a pochi affiliati selezionati, ha adottato una strategia aperta, distribuendo l’accesso alla propria piattaforma ransomware a migliaia di utenti tramite BreachForums, uno dei principali forum del cybercrime.
Questa scelta ha ampliato enormemente la platea di potenziali attaccanti, abbassando ulteriormente la soglia di accesso a strumenti avanzati di cyber attacco.
A rafforzare il rischio contribuisce anche la collaborazione con TeamPCP, già noto per attacchi alla supply chain che hanno compromesso software diffusi a livello globale. L’obiettivo è chiaro: sfruttare accessi già compromessi per lanciare campagne ransomware su larga scala.
Errori strutturali e sospetti sull’origine
L’indagine dei ricercatori ha evidenziato anomalie significative nel codice del malware. Secondo gli esperti, questi difetti suggeriscono che VECT possa essere opera di attori poco esperti o che abbiano utilizzato codice preesistente – o persino strumenti di intelligenza artificiale – senza una piena comprensione del funzionamento.
Un elemento interessante riguarda il cosiddetto geofencing: VECT evita di colpire l’Ucraina, una scelta più coerente con vecchi ceppi di ransomware che con i gruppi attuali. Questo rafforza l’ipotesi che il codice derivi da leak precedenti al 2022.
Anche dal punto di vista operativo emergono criticità: alcune funzionalità promesse agli affiliati, come la regolazione della velocità di cifratura, risultano di fatto inutili o ignorate dal sistema.
Il rischio reale per le aziende
Nonostante i difetti, VECT rappresenta una minaccia concreta. La sua capacità di distruggere dati critici può causare danni irreversibili alle organizzazioni, indipendentemente dal pagamento del riscatto.
Inoltre, il malware mantiene caratteristiche tipiche degli attacchi moderni:
-
esfiltrazione dei dati prima della cifratura
-
blocco dei sistemi
-
accesso persistente tramite token e credenziali compromesse
Il rischio è destinato ad aumentare: se gli sviluppatori correggeranno le attuali vulnerabilità, una versione futura potrebbe risultare molto più efficace e pericolosa, soprattutto considerando la rete già ampia di affiliati.
Cosa fare in caso di attacco
Il messaggio degli esperti è netto: pagare non serve.
Nel caso di VECT, il pagamento del riscatto non garantisce alcun recupero dei dati, perché semplicemente non esistono più. Le organizzazioni devono quindi puntare su prevenzione e resilienza, adottando strategie come:
-
backup indipendenti e isolati
-
monitoraggio continuo delle minacce
-
rotazione immediata delle credenziali in caso di compromissione
Particolare attenzione è richiesta per le aziende coinvolte negli attacchi alla supply chain legati a TeamPCP, dove il rischio di accessi già compromessi è elevato.
Uno scenario in evoluzione
Il caso VECT evidenzia un cambiamento importante: non tutte le minacce seguono più una logica economica “razionale”. Errori di progettazione, automazione e diffusione massiva stanno rendendo il panorama cyber ancora più imprevedibile.
In questo contesto, la difesa non può basarsi su assunzioni tradizionali. Le organizzazioni devono prepararsi a scenari in cui il danno non è negoziabile – e in cui la prevenzione resta l’unica vera strategia efficace.
