7 марта 2025 года мир киберпреступности был подвержен новому вызову: программа-вымогатель VanHelsingRaaS. Эта платформа, работающая по модели RaaS (Ransomware as a Service), быстро заявила о себе, привлекая как опытных хакеров, так и новичков, желающих заработать на злоумышленной деятельности.
Модель работы VanHelsingRaaS
VanHelsing предлагает аффилированным лицам участвовать в программах-вымогателях, внесшим депозит в размере 5000 долларов. В рамках данной программы:
- Аффилированные лица получают 80% доходов от выкупа.
- 20% средств распределяются между основными операторами.
Однако существует одно заметное ограничение: использование системы наведения на цель запрещено в Содружестве Независимых Государств (СНГ).
Технические особенности
Исследование компании Check Point выявило два варианта программы-вымогателя VanHelsing, нацеленные на системы Windows. Платформа также конкурсирует на возможность работы с другими ОС, такими как Linux, BSD, ARM и ESXi, что значительно расширяет ее потенциал.
Анализ эволюции программы-вымогателя позволяет понять ее известные качества:
- Заражение трех известных жертв всего за две недели.
- Выкуп в размере 500 000 долларов, выплачиваемый в биткоинах.
- Первоначальный код написан на C++, что позволяет настройку через аргументы командной строки.
Механизмы шифрования
Программа-вымогатель VanHelsing внедряет сложный механизм шифрования, который:
- Удаляет теневые копии томов Windows с помощью платформы Windows Management Instrumentation (WMI).
- Шифрует диски, исключая критически важные системные файлы для поддержания функциональности ОС.
- Использует алгоритм шифрования ChaCha20 с уникальными эфемерными ключами для каждого файла.
Дополнительно «бесшумный» режим позволяет программе обходить механизмы обнаружения, выполняя переименование зашифрованных файлов в два этапа и откладывая визуальные изменения до завершения шифрования.
Недостатки программы
Несмотря на продвинутую архитектуру, VanHelsing имеет и недостатки. Одним из основных является неправильная настройка, связанная с ассоциацией расширений зашифрованных файлов, что может привести к:
- Двойному шифрованию при многократном запуске.
- Неэффективности в распространении через общие ресурсы блока сообщений сервера (SMB).
Эти уязвимости подчеркивают необходимость мониторинга и защиты от новых угроз в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Программа-вымогатель VanHelsing: эволюция киберугроз 2025 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
