В Сети появилась новая программа-шифровальщик, действующая RaaS-системе. Причем авторы вредоносного кода запрещают её использовать на жертвах из СНГ.
Профильные специалисты фирм Cyfimra и Check Point Research провели расследование и опубликовали результаты, в которых указано, что создатели VanHelsing являются членами русскоязычной хакерской группы.
Сама программа, чей код написан на языке C++, кроссплатформенная, выполняющая свое отрицательное действие в ОС Windows, Linux, BSD, ARM. Первые атаки с использованием шифровальщика были проведены 16 марта. Для использования софта-вредоноса от хакеров необходимо согласие на 20% комиссию в случае успешности атаки. Эта сумма получается с выкупа за обратную расшифровку атакованных файлов.
Эксперты выяснили, что «раскрутка» ВанХельсинга стартовала 7 марта, когда на популярных киберкриминальных ресурсах появилась соответствующая реклама. Авторы объявления указали, что использование вредоноса бесплатно для «проверенных» хакерских группировок, имеющих определенную репутацию в хакерском кругу. Для всех остальных участников придётся внести депозит в размере 5000 американских долларов. Оплата услуг программы выполняется посредством блокчейна, гарантирующего определенную безопасность.
Авторы изделия в качестве преимуществ их программного решения обозначили автоматизацию операций и полную техподдержку авторов софта.
Причем файлы, которые удалось зашифровать, загружаются в сетевое хранилище хакерской группировки, создавшей шифровальщика. А стойкость серверов гарантируется постоянными проверочными атаками на хакерскую инфраструктуру.
По данным расследователей, на конец марта 2025 года предположительно известно об удачной атаке на сервера трёх компаний, территориально расположенных в Соединенных Штатах и во Франции. По более точной информации был атакован объект в американском штате Техас и две фирмы, занятых в технологической сфере. И как выяснили в Check Point, вымогатели за расшифровку атакованных файлов требуют 500 тыс. долларов.
В ходе дальнейших скрупулезных исследований было выяснено, что файлы шифруются на основе алгоритма ChaCha20, где каждая отдельная единица запаковывается при помощи 256-битного ключа симметричного типа и одноразового 12-байтного числа. После эти данные шифруются с использованием ключа Curve25519. В финале процесса пара архивируется в каждый отдельный и уже зашифрованный элемент.
Если размер шифруемой единицы больше 1 ГБ, то такой элемент шифруется частично, мелкие файлы шифруются полностью.
Вредоносная программа имеет существенное количество возможностей, позволяя выбирать какой конкретный каталог кодировать или же зашифровать всё.
Что интересно, софт может функционировать и в «режиме скрытности», когда у атакуемых файлов меняется расширение на .vanhelsing только после окончания процесса.