Er is een nieuwe multi-platform ransomware-as-a-service (RaaS) operatie genaamd VanHelsing verschenen, die zich richt op Windows, Linux, BSD, ARM en ESXi-systemen. VanHelsing werd voor het eerst gepromoot op ondergrondse cybercrime platforms op 7 maart, waarbij ervaren partners gratis mogen deelnemen terwijl minder ervaren dreigingsactoren een borg van $5,000 moeten betalen.

De nieuwe ransomware-operatie werd eerst gedocumenteerd door CYFIRMA eind vorige week, en een meer diepgaande analyse werd gisteren gepubliceerd door Check Point Research.

### Binnen VanHelsing

Analisten van Check Point melden dat VanHelsing een Russisch cybercrimeproject is dat aanvallen op systemen in landen van het Gemenebest van Onafhankelijke Staten (GOS) verbiedt. Partners mogen 80% van de losgeldeisen behouden, terwijl de exploitanten een deel van 20% nemen. Betalingen worden afgehandeld via een geautomatiseerd escrow-systeem dat twee blockchainbevestigingen gebruikt voor veiligheid.

De geaccepteerde partners krijgen toegang tot een paneel met volledige operationele automatisering, en er is directe ondersteuning van het ontwikkelingsteam. Bestanden die van de netwerken van slachtoffers zijn gestolen, worden direct op de servers van de VanHelsing-operatie opgeslagen. Het kernteam beweert dat ze regelmatig penetratietests uitvoeren om topbeveiliging en systeembetrouwbaarheid te waarborgen.

Momenteel vermeldt het afpersingsportaal van VanHelsing op het dark web drie slachtoffers: twee in de VS en één in Frankrijk. Een van de slachtoffers is een stad in Texas, terwijl de andere twee technologiebedrijven zijn.

De ransomware-exploitanten dreigen de gestolen bestanden binnen enkele dagen uit te lekken als hun financiële eisen niet worden ingewilligd. Volgens het onderzoek van Check Point bedraagt het losgeld $500,000.

### Stealth-modus

De VanHelsing ransomware is geschreven in C++ en bewijs suggereert dat het voor het eerst in het wild werd ingezet op 16 maart. VanHelsing gebruikt het ChaCha20-algoritme voor bestandscodering, waarbij een 32-bits (256-bit) symmetrische sleutel en een 12-byte nonce voor elk bestand worden gegenereerd. Deze waarden worden vervolgens versleuteld met een ingebouwde Curve25519 openbare sleutel, en het resulterende versleutelde sleutel/nonce-paar wordt in het versleutelde bestand opgeslagen.

VanHelsing versleutelt gedeeltelijk bestanden die groter zijn dan 1GB, maar voert het volledige proces uit op kleinere bestanden. De malware ondersteunt rijke CLI-aanpassingen om aanvallen per slachtoffer aan te passen, zoals het richten op specifieke schijven en mappen, het beperken van de reikwijdte van codering, verspreiding via SMB, overslaan van de verwijdering van schaduwkopieën en het activeren van een tweefasige stealth-modus.

In de normale coderingsmodus somt VanHelsing bestanden en mappen op, versleutelt hij de inhoud van het bestand en hernoemt hij het resulterende bestand met de extensie ‘.vanhelsing’. In de stealth-modus ontkoppelt de ransomware codering van het hernoemen van bestanden, wat minder waarschijnlijk alarmen triggert omdat de I/O-patronen van bestanden normaal systeemgedrag nabootsen. Zelfs als beveiligingstools reageren bij de start van de hernoemfase, zal bij de tweede doorgang de volledige gerichte dataset al versleuteld zijn.

Hoewel VanHelsing geavanceerd lijkt en zich snel ontwikkelt, merkte Check Point enkele gebreken op die codeonvolwassenheid onthullen. Deze omvatten mismatches in de bestandsuitbreiding, fouten in de logica van de uitsluitingslijst die dubbele encryptie-passages kunnen veroorzaken, en verschillende niet-geïmplementeerde opdrachtregelvlaggen. Ondanks de aanwezigheid van fouten blijft VanHelsing een zorgwekkende opkomende dreiging die binnenkort aan populariteit kan winnen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----