Появился новый вид вымогательского ПО — VanHelsingRaaS, представляющий угрозу для Linux-, BSD-, ARM- и ESXi-систем. Используя сложные методы шифрования, VanHelsingRaaS делает восстановление данных без ключа практически невозможным.
Екатерина Едемская, инженер-аналитик компании «Газинформсервис», предупреждает: «VanHelsingRaaS — новый и опасный тип вымогательского ПО, расширяющий традиционные границы за счёт поддержки Linux, BSD, ARM и ESXi. Это серьёзная угроза для корпоративных и облачных систем, поскольку многие защитные меры ориентированы, в первую очередь, на Windows-среды. Программа использует мощные методы шифрования, включая ChaCha20 и Curve25519, что делает восстановление данных без ключа практически невозможным. А функция "Тихий режим" скрывает активность до завершения шифрования, усложняя обнаружение. Концепция ransomware-as-a-service (RaaS) быстро набирает популярность среди киберпреступников разного уровня подготовки. Платформы вроде VanHelsingRaaS предлагают низкий порог входа и доходную модель 80/20, способствуя широкому распространению вредоносов».
Кроссплатформенность и высокая адаптивность делают угрозу особенно опасной — злоумышленники легко настраивают её под разные архитектуры и системы, усложняя выявление и нейтрализацию атак. При этом в реализации VanHelsingRaaS есть уязвимости, например ошибки в обработке расширений файлов, вызывающие двойное шифрование или сбои.
Едемская отмечает, что программы-вымогатели обычно действуют поэтапно, поэтому важно отслеживать аномальное поведение на уровне пользователя и системы: «В этом помогают UEBA-решения, такие как Ankey ASAP от компании "Газинформсервис", использующие машинное обучение и исторические данные для анализа поведения. ASAP выявляет отклонения, связанные с вредоносной активностью, — нестандартные запросы, изменения прав, запуск скрытых процессов — и позволяет оперативно реагировать, снижая ущерб и обеспечивая специалистов по ИБ точной аналитикой».
