A Vision Cybersecurity, spin-off da ISH Tecnologia, divulgou um boletim alertando para o crescimento acelerado do grupo de ransomware Vect 2.0, operação criminosa que tem o Brasil entre seus principais alvos.
Segundo a empresa, o grupo atua contra organizações dos setores de educação, saúde, tecnologia, manufatura e energia, utilizando ataques capazes de comprometer simultaneamente múltiplos ambientes corporativos e provocar paralisações severas em operações de TI.
Grupo utiliza modelo Ransomware-as-a-Service
De acordo com o relatório, o Vect 2.0 opera sob o modelo Ransomware-as-a-Service (RaaS), no qual afiliados utilizam uma infraestrutura pronta para lançar ataques.
A Vision Cybersecurity afirma que o custo de entrada para novos operadores gira em torno de 250 dólares em criptomoedas, reduzindo barreiras técnicas e ampliando o alcance da operação criminosa.
“Trata-se de um ecossistema altamente profissional e escalável, no qual mesmo agentes com pouco conhecimento técnico podem realizar ataques complexos e altamente destrutivos”, afirma Hugo Santos, Diretor de Inteligência de Ameaças da Vision.
Segundo o boletim, a América Latina se consolidou como alvo prioritário do grupo, especialmente Brasil e México. Fora da região, Estados Unidos, Índia, África do Sul e Egito também aparecem entre os países mais visados.
Ataques atingem ambientes Windows, Linux e VMware
Um dos diferenciais identificados pela Vision Cybersecurity é a capacidade do Vect 2.0 de atingir simultaneamente ambientes Windows, Linux e VMware ESXi, tecnologia amplamente utilizada em virtualização de servidores corporativos.
Na prática, isso permite que um único ataque comprometa diferentes sistemas críticos ao mesmo tempo.
Além da criptografia de arquivos e da extorsão financeira, o grupo também realiza roubo prévio de dados sensíveis, aumentando a pressão sobre as vítimas mesmo em cenários nos quais existam backups disponíveis.
Malware pode destruir arquivos permanentemente
Segundo Hugo Santos, análises da Vision identificaram falhas críticas no processo de criptografia utilizado pelo malware, o que pode tornar arquivos permanentemente irrecuperáveis. “Isso altera completamente a lógica tradicional dos ataques de ransomware. Em determinados cenários, nem mesmo o pagamento do resgate pode garantir a recuperação dos dados”, comenta.
De acordo com a empresa, o comportamento observado aproxima o Vect 2.0 de um wiper, categoria de malware criada para destruição definitiva de informações.
A Vision também aponta que o grupo utiliza credenciais roubadas, VPNs comprometidas, acessos remotos expostos e campanhas de phishing como principais vetores de entrada.
O malware ainda emprega técnicas para dificultar a detecção, incluindo desativação de antivírus, exclusão de backups e limpeza de logs dos sistemas.
Empresas devem reforçar estratégias de prevenção
Diante do cenário, a Vision Cybersecurity recomenda que empresas ampliem medidas preventivas, como autenticação multifator, segmentação de rede, restrição de acessos remotos expostos e adoção de backups offline e imutáveis.
“Modelos tradicionais baseados apenas em recuperação e negociação já não são suficientes diante de ameaças com potencial destrutivo. A capacidade de detectar movimentações suspeitas precocemente e garantir estratégias resilientes de backup passa a ser essencial para a continuidade operacional das empresas”, conclui Santos.
