# Vect Ransomware > [!high] > **Vect Ransomware** é um grupo de ransomware emergente identificado em março de 2026 em parceria com o grupo [[teampcp|TeamPCP]] de ataques à cadeia de suprimentos. A parceria representa uma escalada significativa: comprometimentos de supply chain via PyPI agora servem como pré-posicionamento para implantação de ransomware em escala empresarial. ## Visão Geral O Vect Ransomware é um grupo de ransomware-as-a-service (RaaS) emergente, identificado pela primeira vez em conexão com a série de ataques à cadeia de suprimentos conduzidos pelo [[teampcp|TeamPCP]] em março de 2026. A parceria entre os dois grupos representa uma evolução preocupante no cenário de ameaças: ataques de supply chain via pacotes PyPI maliciosos (como `telnyx` 4.87.1/4.87.2 e `litellm` 1.82.7/1.82.8) são utilizados como vetor de acesso inicial para pré-posicionamento, seguido de implantação de ransomware nas organizações vítimas. Esta colaboração indica uma maturidade operacional crescente do ecossistema de ameaças supply chain: grupos especializados em comprometimento de repositórios de pacotes ([[teampcp|TeamPCP]]) e grupos especializados em monetização via ransomware (Vect) colaboram em modelo análogo ao RaaS tradicional, mas com vetor de infecção inicial mais sofisticado e difícil de detectar. O impacto potencial para organizações no [[brasil|Brasil]] e [[latam|América Latina]] que utilizam os pacotes comprometidos em pipelines de desenvolvimento é crítico, especialmente considerando a ampla adoção de frameworks Python como LiteLLM em fintechs e startups de [[ia|IA]] regionais. ## Modelo Operacional ### Programa de Afiliados (BreachForums) Em março de 2026, o Vect lançou um programa de afiliados em larga escala no [[breachforums|BreachForums]], distribuindo chaves de afiliação personalizadas para aproximadamente **300.000 usuários registrados** da plataforma. Este modelo de recrutamento em massa é inédito na escala: onde operações RaaS tradicionais (LockBit, BlackCat) recrutam dezenas ou centenas de afiliados curados, o Vect apósta na cauda longa de criminosos de menor sofisticação para maximizar volume de ataques. ### Cadeia TeamPCP → Vect O fluxo operacional documentado: 1. **[[teampcp|TeamPCP]]** compromete pipeline CI/CD via supply chain (pacotes PyPI/npm, GitHub Actions) 2. TeamPCP instala backdoor [[canisterworm|CanisterWorm]] ou acesso persistente via systemd/Kubernetes DaemonSet 3. Acesso é repassado ao afiliado Vect (ou operado diretamente pelo TeamPCP como afiliado) 4. Afiliado Vect implanta ransomware em redes pré-posicionadas, criptografa dados e exige resgate 5. Ransom pago em cripto é dividido entre operadores Vect e afiliado TeamPCP ### Alvos Preferênciais Organizações com pipelines de desenvolvimento comprometidos são alvos de oportunidade com características atrativas para o Vect: - Acesso a ambientes de produção via CI/CD já comprometido - Dados técnicos de alto valor (código-fonte, credenciais de produção, segredos AWS/GCP) - Organizações com baixa visibilidade de supply chain (não monitoram integridade de packages) ## Detalhes Técnicos Informações técnicas sobre o payload Vect Ransomware são limitadas. O vetor de acesso inicial é fornecido pelo [[teampcp|TeamPCP]] via supply chain. A técnica de persistência documentada inclui binário `msbuild.exe` malicioso na pasta Startup do Windows (via pacote `telnyx` comprometido), garantindo sobrevivência a reinicializações antes da fase de criptografia. ## TTPs | Técnica | ID | Fase | |---------|-----|------| | Criptografia de Dados para Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Impact | | Compromisso da Cadeia de Suprimentos | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Initial Access | ## Referências - [SANS ISC - TeamPCP Update 003](https://isc.sans.edu/diary/rss/32842) - Parceria documentada com [[teampcp|TeamPCP]] em comprometimentos PyPI (março 2026)