sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game
9 de julho de 2026
Férias: museus de São Paulo oferecem programação especial gratuita
9 de julho de 2026
Quartas de final da Copa começam nesta quinta com 6 seleções europeias
9 de julho de 2026
Trânsito em Campinas: avenida Princesa D’Oeste terá novos bloqueios a partir desta quinta; veja desvios
8 de julho de 2026
quinta-feira, julho 9, 2026
Top Posts
Nintendo vai encerrar Mario Kart Tour e não...
Férias: museus de São Paulo oferecem programação especial...
Quartas de final da Copa começam nesta quinta...
Trânsito em Campinas: avenida Princesa D’Oeste terá novos...
Litoral no Inverno? Cetesb aponta lista com 44...
10 apps fitness para melhorar sua rotina de...
Campinas amplia validade da Licença Sanitária para três...
China cria plano para salvar a Terra de...
Mais de mil soldados participam de demonstração militar...
Bumba meu boi segue ditando o ritmo dos...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game
9 de julho de 2026
Férias: museus de São Paulo oferecem programação especial gratuita
9 de julho de 2026
Quartas de final da Copa começam nesta quinta com 6 seleções europeias
9 de julho de 2026
Trânsito em Campinas: avenida Princesa D’Oeste terá novos bloqueios a partir desta quinta; veja desvios
8 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game
9 de julho de 2026
Férias: museus de São Paulo oferecem programação especial gratuita
9 de julho de 2026
Quartas de final da Copa começam nesta quinta com 6 seleções europeias
9 de julho de 2026
Trânsito em Campinas: avenida Princesa D’Oeste terá novos bloqueios a partir desta quinta; veja desvios
8 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Franquia criminosa de vírus mira em empresas brasileiras com sequestro de dados

por SampaNews 3 de fevereiro de 2026
3 de fevereiro de 2026
39

Uma nova operação de ransomware detectada pela RedPiranha e chamada Vect surgiu no início de janeiro com as primeiras vítimas confirmadas, incluindo organizações no Brasil e na África do Sul. Os alvos visados estavam nos setores de educação e manufatura, com roubos de dados que chegaram a 150 gigabytes.

Modelo de franquia do cibercrime

O Vect é distribuído num modelo que funciona como RaaS, sigla para Ransomware-as-a-Service, ou “Ransomware como Serviço”. Na prática, funciona como uma franquia, na qual os desenvolvedores criam o malware e toda a infraestrutura técnica, enquanto “afiliados” executam os ataques. Os lucros são divididos entre todos os envolvidos.

smart_display

Nossos vídeos em destaque

Página de login do RaaS do Vect pedia o código de convite e senha, garantindo exclusividade do site. Imagem: RedPiranha

Para entrar nesse programa de afiliados, criminosos pagam uma taxa de US$ 250 em Monero, uma criptomoeda projetada especificamente para dificultar rastreamento. Diferente do Bitcoin, onde todas as transações ficam registradas em um livro-razão público, o Monero ofusca completamente quem enviou, quem recebeu e quanto foi transferido.

“O uso exclusivo de Monero demonstra que estamos lidando com operadores que entendem profundamente de segurança operacional”, explica um analista de ameaças cibernéticas que prefere não se identificar. “Eles não deixam rastros financeiros.”

Tecnologia de ponta a serviço do crime

Uma das características técnicas que diferencia o Vect é o algoritmo de criptografia utilizado, ChaCha20-Poly1305.

O algoritmo de criptografia mais comum hoje é o AES-256, considerado extremamente seguro e usado por governos e bancos. Porém, o AES funciona melhor em processadores modernos que têm aceleração de hardware, circuitos especializados que fazem esse trabalho mais rápido. 

O ChaCha20 foi desenvolvido pelo criptógrafo Daniel J. Bernstein justamente para ser veloz em qualquer tipo de hardware, mesmo em equipamentos mais antigos ou simples.

Segundo o documento técnico sobre o Vect, esse algoritmo é aproximadamente 2,5 vezes mais rápido que o AES-256-GCM em sistemas sem aceleração específica. Na prática, isso significa que o ransomware pode criptografar arquivos muito mais rapidamente, reduzindo o tempo que equipes de segurança têm para detectar e interromper o ataque.

Ataque a múltiplas plataformas

Enquanto muitos ransomwares focam exclusivamente no Windows, o Vect foi desenvolvido para atacar três ambientes diferentes: Windows, Linux e VMware ESXi. 

O ESXi é uma plataforma de virtualização, e empresas usam essa tecnologia para otimizar recursos: em vez de ter 50 servidores físicos ocupando espaço e consumindo energia, você pode ter tudo rodando virtualmente em 5 máquinas potentes.

Ao atacar especificamente o ESXi, o Vect pode paralisar completamente a infraestrutura de uma organização de uma só vez. O malware trabalha diretamente com arquivos VHD (Virtual Hard Disk), que são os “discos rígidos virtuais” onde ficam armazenados todos os dados dessas máquinas virtuais.

A anatomia de um ataque Vect

O ciclo de um ataque do Vect segue etapas bem definidas, cada uma explorando vulnerabilidades diferentes nas defesas corporativas.

Primeiro, os afiliados geralmente obtêm acesso através de serviços RDP (Remote Desktop Protocol, que permite controlar computadores à distância) ou VPN (Virtual Private Network, que cria túneis seguros para redes corporativas) expostos na internet sem proteção adequada.

Outra porta comum é o phishing: e-mails enganosos que convencem funcionários a revelar senhas ou baixar arquivos infectados.

Uma vez dentro, os atacantes precisam de permissões de administrador. Isso é conseguido através de técnicas como “credential dumping”, onde o malware vasculha a memória do computador e arquivos de configuração em busca de senhas armazenadas.

Antes de criptografar qualquer coisa, o Vect faz um reconhecimento completo. Ele identifica servidores de arquivos, pastas compartilhadas, sistemas de backup, bancos de dados e infraestrutura de virtualização. 

O ransomware não fica em um único computador. Ele se move lateralmente pela rede usando protocolos legítimos de administração. O SMB (Server Message Block) é o sistema que o Windows usa para compartilhar arquivos e impressoras entre computadores. O WinRM (Windows Remote Management) permite executar comandos remotamente. 

O Vect usa essas ferramentas normais de TI, tornando suas ações difíceis de distinguir de atividades administrativas legítimas.

O sequestro que não acaba ao pagar

Antes de criptografar qualquer arquivo, o ransomware rouba grandes volumes de dados sensíveis, incluindo informações pessoais de clientes e funcionários (CPF, endereços, dados bancários), contratos confidenciais, documentos internos estratégicos.

Esse modelo é chamado de “dupla extorsão”. Primeiro, a empresa perde acesso a todos os seus arquivos criptografados. Depois, mesmo que consiga recuperá-los por outros meios, os criminosos ainda podem ameaçar vazar publicamente os dados roubados.

Os dados são publicados no site de vazamento do grupo, chamado “VECT RANSOMWARE // DATA ARCHIVE”, com contadores regressivos que aumentam a pressão psicológica sobre as vítimas.

Truque do modo silencioso

Uma das técnicas mais sofisticadas do Vect é forçar computadores infectados a reiniciarem em “Safe Mode” ou Modo de Segurança. Normalmente, esse é um modo de diagnóstico do Windows onde apenas componentes essenciais são carregados, útil quando você precisa consertar problemas do sistema.

O problema é que a maioria dos produtos de segurança não carrega no Modo de Segurança. São softwares complexos que ficam de fora para garantir que o sistema funcione de forma mínima durante diagnósticos.

O Vect explora justamente isso. Usando comandos do sistema chamados “bcdedit”, ele modifica as configurações de inicialização do computador para forçá-lo a sempre ligar neste modo enfraquecido. Assim, pode criptografar arquivos sem ser detectado ou bloqueado.

Destruindo Todas as Saídas de Emergência

Antes de criptografar, o Vect também se certifica de que a vítima não terá como se recuperar facilmente. Ele encerra todos os processos que poderiam bloquear o acesso a arquivos ou permitir restauração:

  • Bancos de dados (SQL Server, MySQL, Oracle) são desligados. Esses sistemas mantêm arquivos bloqueados enquanto estão rodando, impedindo que sejam modificados ou criptografados;
  • Software de backup (Veeam, Commvault, Acronis) é interrompido. Essas ferramentas poderiam estar fazendo cópias dos arquivos naquele exato momento.
  • Produtos de segurança são finalizados. 

Em seguida, o ransomware executa comandos destrutivos como “vssadmin delete shadows /all /quiet”, que apaga todas as Volume Shadow Copies — snapshots automáticos que o Windows cria dos arquivos, permitindo restaurar versões anteriores. O catálogo de backup do Windows também é deletado.

Infraestrutura invisível

Toda a operação do Vect acontece através da rede Tor (The Onion Router), um sistema que anonimiza conexões de internet fazendo os dados passarem por múltiplos servidores ao redor do mundo, cada camada criptografada como as camadas de uma cebola (daí o nome).

Os criminosos mantêm três interfaces na Tor:

  • Portal de recrutamento de afiliados: onde novos criminosos pagam os US$ 250 para entrar no programa e recebem acesso ao malware e ferramentas de gerenciamento;
  • Vect Secure Chat: interface de negociação onde vítimas conversam com negociadores especializados. Cada vítima recebe um UUID (Universal Unique Identifier), uma sequência única de caracteres que funciona como um número de protocolo para autenticar no sistema;
  • Site de vazamento: onde dados de empresas que não pagaram são publicados com contadores regressivos.

Analistas identificaram também um servidor na internet normal (clearnet) no endereço IP 158.94.210.11 na porta 8000, aparentemente usado como alternativa de negociação.

Para comunicação entre afiliados, o grupo usa o protocolo TOX, um sistema de mensagens criptografadas peer-to-peer (ponto a ponto), sem servidores centrais que possam ser apreendidos ou rastreados por autoridades.

Quem está por trás do Vect?

Os criadores do Vect afirmam ter desenvolvido o malware completamente do zero em C++, uma linguagem de programação poderosa frequentemente usada para software que precisa de alto desempenho. Isso os diferencia de muitos grupos criminosos que simplesmente reutilizam código vazado de operações anteriores como LockBit 3.0 ou Conti.

Especialistas avaliam que a combinação de malware customizado, escolha criteriosa de algoritmos de criptografia modernos, capacidade multiplataforma focada em virtualização, técnicas avançadas de evasão e segurança operacional rigorosa indica fortemente que não são amadores.

O programa de afiliados é estruturado profissionalmente, oferecendo comissões escalonadas (quanto mais lucro você gera, maior sua porcentagem), suporte de negociadores experientes, capacidades multilíngues para atingir vítimas globalmente, e painéis de controle completos para gerenciar infecções e pagamentos.

Brasil e África do Sul são primeiras vítimas

Em janeiro de 2026, organizações de educação e manufatura no Brasil e na África do Sul foram atingidas. Os dados roubados incluíram informações pessoais completas de funcionários e clientes, registros acadêmicos, contratos comerciais e documentação interna.

Para as vítimas, isso significa não apenas a paralisação operacional imediata, mas também:

  • Exposição a multas por violação da LGPD (no Brasil) ou legislações equivalentes;
  • Processos judiciais de pessoas cujos dados foram expostos;
  • Danos irreparáveis à reputação institucional;
  • Possível roubo de identidade e fraudes financeiras contra indivíduos afetados.

As autoridades policiais de diversos países já foram notificadas sobre a operação, mas a natureza internacional, o uso extensivo de anonimização e as criptomoedas tornam investigações desafiadoras.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Macron diz que prepara diálogo com Putin, mas vê Rússia longe de acordo sobre Ucrânia
próxima postagem
Jetour T1 prova que nem todo carro off-road precisa de tração 4×2 – até a página 2

Você também pode gostar

Nintendo vai encerrar Mario Kart Tour e não...

9 de julho de 2026

10 apps fitness para melhorar sua rotina de...

8 de julho de 2026

China cria plano para salvar a Terra de...

8 de julho de 2026

Blue Origin busca US$ 10 bilhões e mira...

8 de julho de 2026

POSTS MAIS RECENTES

  • Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game
  • Férias: museus de São Paulo oferecem programação especial gratuita
  • Quartas de final da Copa começam nesta quinta com 6 seleções europeias
  • Trânsito em Campinas: avenida Princesa D’Oeste terá novos bloqueios a partir desta quinta; veja desvios
  • Litoral no Inverno? Cetesb aponta lista com 44 praias impróprias para banho neste feriado

Siga-nos

  • Recente
  • Popular
  • Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game

    9 de julho de 2026
  • Férias: museus de São Paulo oferecem programação especial gratuita

    9 de julho de 2026
  • Quartas de final da Copa começam nesta quinta com 6 seleções europeias

    9 de julho de 2026
  • Trânsito em Campinas: avenida Princesa D’Oeste terá novos bloqueios a partir desta quinta; veja desvios

    8 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

10 apps fitness para melhorar sua rotina de...

8 de julho de 2026

Campinas amplia validade da Licença Sanitária para três...

8 de julho de 2026

China cria plano para salvar a Terra de...

8 de julho de 2026

Mais de mil soldados participam de demonstração militar...

8 de julho de 2026

Bumba meu boi segue ditando o ritmo dos...

8 de julho de 2026

Leitura obrigatória

  • Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game

    9 de julho de 2026
  • Férias: museus de São Paulo oferecem programação especial gratuita

    9 de julho de 2026
  • Quartas de final da Copa começam nesta quinta com 6 seleções europeias

    9 de julho de 2026
  • Trânsito em Campinas: avenida Princesa D’Oeste terá novos bloqueios a partir desta quinta; veja desvios

    8 de julho de 2026
  • Litoral no Inverno? Cetesb aponta lista com 44 praias impróprias para banho neste feriado

    8 de julho de 2026

Newsletter

Posts relacionados

  • Nintendo vai encerrar Mario Kart Tour e não lançará modo offline para o game

    9 de julho de 2026
  • 10 apps fitness para melhorar sua rotina de saúde

    8 de julho de 2026
  • China cria plano para salvar a Terra de impactos de asteroides gigantes

    8 de julho de 2026
  • Blue Origin busca US$ 10 bilhões e mira valor de mercado de US$ 130 bilhões

    8 de julho de 2026
  • Code Vein II e mais jogos de Xbox com até 93% OFF; aproveite

    8 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Fim da 6×1: tire dúvidas sobre a PEC que reduz jornada e garante 2 folgas semanais
26 de maio de 2026
Bolsonaro sinaliza apoio a deputado para governo no Rio, mas Senado segue indefinido
19 de fevereiro de 2026
Familiares de mulher morta relatam que vítima era controlada pelo ex
31 de janeiro de 2026

Categorias Populares

  • Tecnologia (6.030)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.085)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.124)
  • Bragança Paulista (1.101)
  • Esporte (794)
  • Saúde (492)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home