Ransomware som raderar data istället för att kryptera den

VECT 2.0 är ett ransomware-as-a-service-projekt (RaaS) som dök upp i december 2025 på ett ryskt cyberbrottsforum. I februari 2026 lanserades version 2.0 med stöd för Windows, Linux och ESXi. Men bakom den professionella fasaden döljer sig ett system fullt av allvarliga programmeringsfel.

Det visar analyser från både Check Point Research och säkerhetsföretaget Halcyon, publicerade i slutet av april 2026.

Felet som gör återställning omöjlig

Det mest kritiska felet finns i hur VECT 2.0 hanterar kryptering av stora filer. Filer över 128 KB delas upp i fyra delar, men ransomwaret sparar bara den kryptografiska nyckeln (nonce) för den sista delen. De tre övriga nycklarna kastas bort permanent.

Det innebär att ingen, inte ens angriparna själva, kan återställa filerna. Att betala lösensumman hjälper inte.

"Nonce-förstöringen sker vid krypteringstillfället och är oåterkallelig. Inget nyckelmaterial hos VECT-operatörerna kan återskapa de bortkastade nycklarna", skriver Halcyon i sin analys.

Check Point Research bekräftar att felet finns i alla tre varianter av ransomwaret och att det i praktiken förvandlar VECT till ett så kallat wiper-program, alltså ett verktyg som förstör data snarare än låser den.

Fler brister i koden

Utöver nonce-felet har forskarna hittat flera andra problem:

• I fullständigt krypteringsläge misslyckas ransomwaret med att kryptera filer större än 32 KB, trots att det försöker hantera filer upp till 128 KB.
• En så kallad race condition i den flertrådsbaserade krypteringen kan leda till att filer byter namn utan att krypteras, eller att innehållet i en fil sparas under ett annat filnamn.
• Hastighetslägena (fast, medium, secure) som marknadsförs för Linux och ESXi är implementerade i koden men ignoreras helt vid körning.
• Krypteringsalgoritmen är felaktigt beskriven i VECT:s egna marknadsföringsmaterial. Ransomwaret använder ChaCha20 utan autentisering, inte ChaCha20-Poly1305 som påstås.

Partnerskap med TeamPCP och BreachForums

Trots de tekniska bristerna har VECT försökt växa snabbt. I mars 2026 annonserade gruppen ett samarbete med TeamPCP, en aktör bakom flera supply chain-attacker mot populära mjukvarupaket som Trivy, LiteLLM och Telnyx.

VECT har också ingått ett partnerskap med BreachForums, där alla registrerade användare på forumet erbjuds tillgång till ransomwaret. Det är ett ovanligt upplägg som sänker tröskeln för vem som kan använda verktyget.

Hittills har gruppen bekräftat två offer, båda kopplade till TeamPCP:s supply chain-kampanj.

Vad det betyder för drabbade organisationer

För organisationer som redan drabbats av VECT 2.0 är budskapet tydligt: betala inte lösensumman. Pengarna ger ingen garanti på återställning, och i de flesta fall är data permanent förlorad.

Check Point Research noterar att VECT använder geofencing för att undvika att kryptera system i CIS-länder, ett beteende som pekar mot en östeuropeisk ursprungsgrupp.

Källorna till den här artikeln är Check Point Research och Halcyon, som båda publicerade sina analyser i slutet av april 2026.