Análise da Check Point Research mostra que o grupo VECT 2.0 apaga arquivos críticos em vez de cifrá-los — e isso muda completamente o cálculo de defesa que ainda guia a maioria das empresas brasileiras.
Há quase uma década o ransomware vive sustentado por uma promessa cínica, mas funcional para o atacante: pague o resgate e seus dados voltam. Era nesse contrato silencioso, validado por casos públicos de recuperação bem-sucedida, que muita empresa apoiava sua estratégia de “pior cenário”. A análise mais recente da Check Point Research, divulgada nesta semana sobre o ransomware-as-a-service VECT 2.0, derruba esse pilar de uma vez. O grupo abandonou a criptografia tradicional como mecanismo principal e passou a destruir arquivos grandes de forma definitiva — bancos de dados, repositórios de imagens, arquivos de mídia, backups locais. Mesmo que a vítima pague, não há chave para devolver o que já foi sobrescrito ou removido. E não estamos falando de uma exceção: a Morphisec já vem documentando há meses uma onda mais ampla de operações que abandonam a criptografia em favor de exfiltração pura ou destruição direta, justamente porque a barreira técnica é menor e o controle da extorsão é maior.
A mudança parece sutil, mas reorganiza por completo a equação de defesa. Quando o invasor criptografa, há tempo, há negociação, há corretor especializado, há analista forense tentando recuperar chaves, há plano B. Quando o invasor destrói, o relógio começa antes — no instante em que ele consegue execução de código com privilégios suficientes para tocar nos dados. A janela de detecção e resposta deixa de ser medida em horas pós-criptografia e passa a ser medida em minutos pré-destruição. Isso eleva o protagonismo de três camadas que historicamente ficavam em segundo plano: detecção precoce de movimentação lateral via EDR/XDR, segmentação de rede que limite o raio de alcance da execução privilegiada, e Deception Technology — honeypots e falsos alvos que atraem o atacante para ambientes controlados antes que ele encontre o repositório real. Cada minuto economizado nesse processo é um minuto de dados que continuam existindo.
O contexto brasileiro empurra esse alerta para o topo da fila. O país concentra 47% dos ataques de ransomware da América Latina segundo o relatório Aon Global Cyber Risk de 2025, e em fevereiro de 2026 a média foi de 3.736 ataques por organização por semana — crescimento de 37% em doze meses, conforme dados da Check Point. Em paralelo, o grupo Babuk reapareceu com o que está sendo chamado de “re-extorsão”: dados já vazados são reutilizados para pressionar a vítima novamente, simulando incidentes novos. Combine os dois movimentos e o cenário fica claro: o atacante mira em destruir o ativo principal e em manter o ativo secundário, os dados exfiltrados, como munição perpétua. O custo médio de um incidente de ransomware para uma empresa de médio porte no Brasil ultrapassa R$ 1,4 milhão considerando perdas operacionais, recuperação, custos jurídicos e danos de imagem — e esse cálculo foi feito para o cenário antigo, em que ainda se podia recuperar.
A boa notícia é que a defesa contra o “ransomware destrutivo” é a mesma que sempre foi recomendada — só que agora a margem para atalhos acabou. Backup deixa de ser plano B e vira ativo de continuidade de negócio: regra 3-2-1-1-0, com pelo menos uma cópia imutável e uma cópia air-gapped, testes de restauração com periodicidade documentada, segregação rigorosa de credenciais entre o ambiente de produção e o ambiente de backup. Já abordei aqui no Café com Bytes como o PAM moderno precisa governar identidades não humanas e contas privilegiadas com just-in-time e gravação de sessão — esse mesmo controle é o que impede que um atacante, ao comprometer uma estação, alcance o repositório de backup em uma única lateralização. Some a isso EDR/XDR com response automatizado, segmentação Zero Trust por perfil de carga de trabalho, e um SIEM correlacionando os sinais em tempo real. Quando os arquivos importantes começam a sumir, o EDR já deveria ter agido — ou o backup imutável já deveria estar completamente fora de alcance.
A sua estratégia de continuidade ainda assume que pagar o resgate é uma carta na manga, ou já foi redesenhada para o cenário em que a recuperação não é negociável e depende exclusivamente de você? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
-
- Novo ransomware torna pagamento ineficaz para empresas com dados críticos destruídos — Inforchannel
- Ransomware Without Encryption: Why Pure Exfiltration Attacks Are Surging — Morphisec
- Ataques de ransomware avançam no Brasil e exigem preparação estratégica — Portal Information Management
- Ataques de ransomware a empresas brasileiras estão em alta — Avant Services
- The State Of Ransomware 2026 — BlackFog
