Prima di procedere
Il panorama della sicurezza informatica globale è stato recentemente scosso dalla scoperta di una nuova e insidiosa minaccia, il ransomware Vect, la cui comparsa risale al mese di dicembre 2025. Nonostante i creatori lo presentino come uno strumento di estorsione all'avanguardia, un'analisi approfondita condotta dagli esperti di Check Point Research e rilanciata da testate autorevoli come Tom's Hardware ha rivelato un difetto strutturale catastrofico. Questo malware non si limita a bloccare i dati, ma li distrugge in modo permanente a causa di un errore di programmazione nel suo algoritmo di cifratura. In termini tecnici, il software si comporta come un 'wiper', ovvero un distruttore di dati, rendendo di fatto impossibile qualsiasi tentativo di recupero, anche nel caso in cui la vittima decida di cedere al ricatto e pagare la somma richiesta dai criminali.
Il cuore del problema risiede nel modo in cui Vect gestisce i file di dimensioni superiori a 128 KB. Secondo le indagini tecniche, il codice del virus suddivide i file di grandi dimensioni in diversi frammenti, ma utilizza un unico buffer di memoria per archiviare i valori di verifica necessari alla decrittazione. Ogni volta che il programma elabora un nuovo frammento, il valore precedente viene sovrascritto da quello successivo. Il risultato finale è che l'utente, o persino l'attaccante stesso, rimane in possesso della chiave valida esclusivamente per l'ultimo segmento del file, mentre tutti i blocchi precedenti rimangono criptati con parametri ormai perduti per sempre. Questa negligenza tecnica trasforma quella che dovrebbe essere un'operazione reversibile in una cancellazione definitiva, rendendo inutile qualsiasi software di recupero o chiave privata fornita dai malviventi.
L'origine di un errore così grossolano ha portato gli specialisti di Check Point Research a ipotizzare che il ransomware sia stato sviluppato utilizzando strumenti di intelligenza artificiale o basandosi su codici sorgente obsoleti e mal ottimizzati. Molti esperti parlano di 'vibe coding', un approccio alla programmazione superficiale dove il codice sembra funzionare a livello estetico o superficiale, ma fallisce miseramente sotto stress o in casi d'uso complessi. Oltre al bug della cifratura, sono stati riscontrati problemi significativi nella gestione del carico sulla CPU e nel funzionamento dei sistemi di mascheramento, che dovrebbero nascondere la presenza del malware ai software antivirus. Questi indizi suggeriscono che, nonostante l'ambizione commerciale, il livello tecnico degli sviluppatori sia sorprendentemente basso.
Episodi simili non sono rari nel 2025. Solo pochi mesi fa, il virus noto come Nitrogen aveva manifestato problematiche analoghe, dove la sostituzione accidentale di parte delle chiavi pubbliche con dei valori nulli aveva condannato i dati di centinaia di aziende. In entrambi i casi, la fretta di monetizzare o l'incapacità di testare adeguatamente il codice ha trasformato un'attività criminale di estorsione in un atto di puro vandalismo digitale. Nonostante questi fallimenti, il gruppo dietro Vect continua a promuovere il malware attraverso un modello di business noto come Ransomware-as-a-Service (RaaS), cercando di reclutare affiliati nei forum del dark web. La pericolosità di questa minaccia è amplificata dalla sua natura cross-platform: il malware è infatti capace di colpire sistemi Windows, distribuzioni Linux e macchine virtuali basate su ESXi, un fattore che lo rende particolarmente minaccioso per le infrastrutture aziendali.
Le alleanze strette con gruppi di cybercriminali già noti, come TeamPCP, indicano che esiste comunque una rete di distribuzione consolidata. Gli esperti avvertono che, sebbene la versione attuale sia difettosa, non bisogna abbassare la guardia. È estremamente probabile che gli sviluppatori rilascino a breve una versione corretta di Vect, risolvendo il bug dei 128 KB e rendendo il virus una minaccia molto più efficace e redditizia. Per le aziende, questo scenario sottolinea l'importanza vitale di mantenere backup offline e aggiornati, poiché in caso di attacco da parte di software scritti male come questo, non esiste alcuna garanzia tecnologica o economica che possa restituire l'accesso alle informazioni critiche.
