Die Ursache liegt im Verschlüsselungsverfahren ChaCha20-IETF. Nach Angaben von Check Point zerlegt die Schadsoftware jede „große Datei" in vier unabhängige Blöcke und verschlüsselt sie mit vier frisch erzeugten, jeweils zwölf Byte langen Zufallswerten (Nonces). Auf die Festplatte schreibt sie jedoch nur den letzten dieser vier Nonces. Die ersten drei werden erzeugt, verwendet und stillschweigend verworfen — sie landen weder auf dem Datenträger noch in der Registry und werden auch nicht an den Betreiber übertragen.

Da ChaCha20-IETF zum Entschlüsseln jedes Blocks sowohl den 32 Byte langen Schlüssel als auch den exakt passenden Nonce benötigt, sind die ersten drei Viertel jeder großen Datei für niemanden mehr wiederherstellbar — auch nicht für die Betreiber selbst. Der Fehler verwirft laut Check Point drei von vier Entschlüsselungs-Nonces bei jeder Datei oberhalb von 131.072 Byte und ist über alle drei Plattformvarianten hinweg identisch. Weil die meisten betrieblich wichtigen Dateien diese Schwelle überschreiten, funktioniert Vect 2.0 in der Praxis als Datenlöscher mit ransomware-artiger Fassade.

Check Point fand in der Variante weitere unvollständig umgesetzte Funktionen: Verschlüsselungsmodi, die zwar ausgewertet, aber nie angewendet werden, sich selbst aufhebende Routinen zur String-Verschleierung sowie eine in der öffentlichen Berichterstattung falsch beschriebene Chiffre.

Dass die Betreiber bewusst einen Wiper geschaffen haben, hält Check Point für unwahrscheinlich. „Sobald das bekannt wird, werden die Leute weniger bereit sein, das Lösegeld zu zahlen", sagte Eli Smadja, bei Check Point für die Produktforschung zuständiger Gruppenleiter, gegenüber Dark Reading. Genau deshalb sei es wichtig gewesen, den Fehler zu melden — die Opfer würden sonst erst nach gezahltem Lösegeld merken, dass ihr Schlüssel nicht funktioniert.

Forscher von Secure.com bringen es in einer Reaktion auf die Erkenntnisse auf den Punkt: „Wer das Lösegeld zahlt, bekommt nichts zurück." Besonders heikel sei das, weil Vect Organisationen mit kritischen Betriebs- oder personenbezogenen Daten und oft geringer Toleranz für Ausfallzeiten ins Visier nehme, darunter Fertigung, Bildung, Gesundheitswesen und Technologie. „Genau in diesen Umgebungen richtet die Zerstörung von Dateien — nicht bloß deren Verschlüsselung — den irreversibelsten Schaden an", so das Team von Secure.com.

Vect tauchte laut Check Point erstmals in einem russischsprachigen Cybercrime-Forum auf und forderte im Januar 2026 rasch seine ersten beiden Opfer. In diesem Monat erregte die Gruppe erneut Aufsehen, als sie eine Partnerschaft mit TeamPCP bekanntgab — dem Akteur hinter mehreren Lieferketten-Angriffen, die Schadcode in verbreitete Software-Pakete wie Trivy, Checkmarx’ KICS, LiteLLM und Telnyx einschleusten. Auf BreachForums kündigte Vect an, mithilfe dieser Partnerschaft die von den Angriffen betroffenen Unternehmen auszunutzen. Ein Forscher bezeichnete das Bündnis gegenüber Dark Reading als Gewinn, da es über den RAT von TeamPCP Zugang zu potenziell Millionen Opfern verschaffe.

Der Fehler in Vect 2.0 dürfte diese Pläne durchkreuzen. In der Summe zeichneten die Erkenntnisse, so Check Point, das Bild einer Gruppe mit operativem Ehrgeiz — sichtbar im offenen Affiliate-Modell auf BreachForums und in der TeamPCP-Kampagne —, deren kryptografische und softwaretechnische Reife jedoch nicht zum angestrebten Maßstab passe.

Da Zahlen bei Vect 2.0 nicht funktioniert, raten die Forscher zu Prävention und Wiederherstellungsvorsorge. Smadja nennt Schulungen zur Erkennung von Social Engineering, Schwachstellenmanagement, umfassendes Sicherheitsmonitoring etwa über EDR sowie erprobte Notfallpläne. Secure.com empfiehlt offline gehaltene, unveränderbare Backups getrennt vom Hauptnetz und regelmäßig getestete Wiederherstellungsverfahren. ESXi-Nutzern wird geraten, Management-Schnittstellen zu isolieren, den Zugriff auf die Virtualisierungsinfrastruktur einzuschränken und strenge Mehr-Faktor-Authentifizierung für alle administrativen Anmeldungen durchzusetzen.

Bei Windows-Systemen sollten Sicherheitsteams auf PowerShell-basierte Deaktivierung von Windows Defender, das Leeren von Ereignisprotokollen und verdächtige Änderungen an der Abgesicherten-Modus-Startkonfiguration achten — allesamt charakteristische Verhaltensindikatoren von Vect. Angesichts der Partnerschaft mit TeamPCP gilt die Lieferketten-Kompromittierung laut Secure.com zudem als bestätigter Einfallsweg, weshalb Organisationen die Integrität fremder Software-Abhängigkeiten überprüfen sollten.