En nyanvändad ransomware-as-a-service (RAAS)-operation känd som VanHelsing riktar sig aggressivt på företag och regeringsinstitutioner över flera plattformar, inklusive Windows, Linux, BSD, ARM och VMware Esxi.
Vanhelsing’s Rapid Adoption, Advanced Evision Techniques, and Multi-Platform Capility Capility, Make Imty
VanHelsing’s Rapid Adoption, Advanced Evication Techniques, and Multi-platform itform it it it it it it it it it it it it it it it it it it it it it
Hur vanhelning fungerar och undviker upptäckt
Till skillnad från traditionella ransomware-stammar, vanhelning är utformad för stealth och effektivitet. Det är skrivet i C ++, vilket gör att den kan utföra över flera operativsystem samtidigt som det lämnar minimala kriminaltekniska spår.
Vid infektion, inaktiverar det säkerhetsverktyg, raderar volymskuggkopior och sprider i sidled med Windows Management Instrumentation (WMI) och PowerShell-kommandon, vilket gör detektering och inneslutning svåra. Broadcom varnar att dessa taktiker möjliggör vanhelning till att fortsätta inom nätverk även efter initial remediering. chacha20 algoritm , som genererar en 32-byte-nyckel och 12-byte nonce per fil, gör dekryptering utan attackerens praktiskt omöjliga. Lag återvinner vissa nycklar, andra förblir låsta. The ransomware also modifies the victim’s desktop wallpaper with a warning message and drops a ransom note named “README.txt”in every infected directory.
A Business Model That Rewards Cybercriminals
VanHelsing operates under a profit-sharing model, where affiliates retain 80% of ransom payments, while the operators take a 20% provision. Nya dotterbolag måste betala en insättning på 5 000 dollar för att gå med i programmet, medan erfarna cyberbrottslingar beviljas tillgång gratis.
Vanhelsing har redan riktat företag i USA och Frankrike, med bekräftade attacker på ett franskt läkemedelsföretag och en amerikansk regeringsentreprenör. href=”https://en.wikipedia.org/wiki/commonwealth_of_odependent_states”Target=”_ blank”> cis (Commonwealth of Independent States) länder. Security researchers from BleepingComputer suggest that this exclusion indicates that the ransomware’s creators are Russian-speaking cybercriminals who, like many Andra, undviker att attackera inhemsk infrastruktur för att undvika brottsbekämpning.
Dubbel utpressning och lösen kräver
vanhelsing exfiltrerar känsliga data innan kryptering av filer, hotar att publicera det såvida inte offret betalar rasen. VanHelsings första dataläckning inträffade mindre än en månad efter att dess affiliate-program lanserades.
ransom-kraven varierar beroende på offrets storlek och industri, med vissa överstigande 500 000 dollar. Medan offren ibland uppmuntras att förhandla, varnar säkerhetsexperter för att betala ofta leder till upprepade attacker. VanHelsing’s rapid adoption within cybercrime forums signals a shift towards more aggressive RaaS campaigns targeting cloud environments and enterprise systems.
Mitigation Strategies: How Companies Can Defend Against VanHelsing
To defend against VanHelsing, cybersecurity experts recommend:
Frequent offline backups – Ensure critical data is stored in air-gapped miljöer. Zero Trust Security Models-Begränsa nätverksrörelse och upprätthålla strikta åtkomstkontroller. Multi-Factor Authentication (MFA)-Minska obehöriga åtkomstrisker. Incident Response Planning-Förbered dig på ransomware-attackscenarier.