En ny ransomware-grupp, VECT, sprids snabbt via ett av de största kriminella partnernäten hittills.
Forskning från Check Point Research visar att drabbade organisationer inte kan få tillbaka sina filer, även om de väljer att betala.
VECT dök upp i slutet av 2025 och skiljer sig från traditionella ransomware-attacker. Snarare än att förlita sig på ett fåtal utvalda samarbetspartners gjorde gruppen sin plattform tillgänglig för tusentals användare via cyberkriminella forum. Samtidigt inleddes samarbeten med aktörer bakom tidigare leverantörskedjeattacker, med målet att angripa företag som redan har blivit komprometterade.
Vid en första anblick framstår hotet som omfattande och välorganiserat. Dock indikerar Check Point Researchs analys på allvarliga brister i skadeprogrammet. Den mest kritiska är att stora filer inte går att återställa. När VECT krypterar affärskritisk information som databaser, säkerhetskopior och virtuella servrar raderas den information som krävs för att låsa upp filerna. Resultatet blir permanent dataförlust utan möjlighet till återställning.
Sårbarheten finns i samtliga versioner av VECT, oavsett om de riktar sig mot Windows, Linux eller virtualiserade miljöer. Trots flera uppdateringar har problemet inte åtgärdats, vilket innebär att attackerna i praktiken fungerar mer som dataradering än klassisk utpressning.
Analysen visar också att flera av funktionerna som utlovas till angripare i praktiken inte fungerar. Inställningar som ska styra hur snabbt filer krypteras har ingen effekt och funktioner som ska hjälpa attackerna att undvika upptäckt används inte. Det tyder på att aktörerna bakom VECT saknar erfarenhet och att delar av koden kan bygga på äldre eller återanvända komponenter.
– Det här är ett ovanligt exempel där affärsmodellen för ransomware faller samman, säger Oskar Rödin, säkerhetsexpert på Check Point Software. Angriparna kan inte leverera det de lovar, vilket gör attackerna mer destruktiva och svårare att hantera. Sådana typer av händelser understryker vikten av förebyggande skydd och robusta säkerhetskopior.
Check Point menar att hotet kvarstår och för organisationer som drabbas är rådet tydligt. Att betala lösen ger inget resultat då data kan stjälas innan systemen slås ut och framtida versioner av VECT kan bli mer avancerade. I stället bör fokus ligga på att återställa system från säkra säkerhetskopior och att snabbt hantera intrånget.
Du kan läsa mer om ransomware-gruppen VECT på Check Points blogg: https://blog.checkpoint.com/security/vect-ransomware-why-paying-wont-get-your-files-back/
