Stručnjaci za sajber sigurnost uspješno su oponašali ponašanje VanHelsinga, sofisticirane RaaS (ransomware-as-a-service) operacije koja se pojavila u martu 2025. godine i brzo je stekla ozloglašenost u krugovima sajber kriminala.
Ransomware koristi model dvostruke iznude, šifrujući datoteke žrtava algoritmima Curve25519 i ChaCha20, istovremeno kradeći osjetljive podatke i prijeteći javnim otkrivanjem ako se zahtjevi za otkupninu ne ispune.
VanHelsing dodaje ekstenziju “.vanhelsing” šifrovanim datotekama i zahtijeva plaćanje u Bitcoinu, s otkupninom u kojoj se traže različiti iznosi na osnovu profila žrtve.
Ono što VanHelsing čini posebno zabrinjavajućim su njegove mogućnosti za više platformi, što mu omogućava da cilja Windows, Linux, BSD, ARM uređaje i VMware ESXi okruženja.
Windows varijanta, napisana u C++ jeziku, demonstrira napredne taktike istrajnosti i izbjegavanja. RaaS operacija održava strukturisani partnerski program koji zahtijeva depozit od 5.000 dolara od novih članova, pri čemu partneri zadržavaju 80% otkupnine prikupljene od žrtava.
Partneri dobijaju pristup namjenskoj kontrolnoj ploči za upravljanje napadima, praćenje žrtava i praćenje statusa plaćanja.
Istraživači AttackIQ-a su utvrdili da je do 14. maja 2025. godine operacija VanHelsing već zarazila pet organizacija širom Sjedinjenih Država, Francuske, Italije i Australije, a podaci tri žrtve koje nisu bile u skladu sa propisima objavljeni su na njihovoj web stranici za otkrivanje podataka.
Sigurnosna firma je objavila sveobuhvatni grafikon napada koji emulira ponašanja koja pokazuje ovaj ransomware, omogućavajući organizacijama da testiraju svoje sigurnosne kontrole protiv ove nove prijetnje.
Napad počinje postavljanjem ransomware-a na kompromitovane sisteme, nakon čega slijede početne izviđačke aktivnosti osmišljene za prikupljanje sistemskih informacija i osiguranje održivosti mete.
VanHelsing provodi sofisticirane provjere prije šifriranja kako bi izbjegao zarazu neželjenih žrtava, poput onih na određenim geografskim lokacijama, te implementira različite mjere protiv analize kako bi izbjegao otkrivanje.
Napredne tehnike izbjegavanja i šifrovanje
VanHelsing koristi više tehnika izbjegavanja kako bi ostao neotkriven tokom svog rada.
Zlonamjerni softver provjerava prisutnost debuggera koristeći IsDebuggerPresent Windows API i koristi otkrivanje lokacije sistema putem više API poziva, uključujući GetUserDefaultLCID, GetUserDefaultLocaleName i GetLocaleInfoA kako bi odredio geografsku lokaciju žrtve.
Istraživači sigurnosti koji su emulirali ransomware identifikovali su da on koristi GetEnvironmentStrings i GetNativeSystemInfo za otiske prstiju sistema i potencijalno pretraživanje pohranjenih vjerodajnica.
Prije početka šifriranja, VanHelsing sabotira opcije oporavka izvršavanjem naredbi za brisanje kopija sjene volumena: –
vssadmin Delete Shadows /All /QuietDetekcija ovog ponašanja može se implementirati praćenjem aktivnosti komandne linije: –
Process Name == (cmd. exe OR powershell.exe)
Command Line CONTAINS ("vssadmin" AND "Delete Shadows")Ransomware zatim sistematski identifikuje vrijedne mete putem prolaska kroz sistem datoteka koristeći Windows API-je FindFirstFileW i FindNextFilew.
Datoteke koje odgovaraju određenim ekstenzijama šifruju se kombinacijom simetrične enkripcije ChaCha20 i ECDH Curve25519, što ih čini nedostupnima bez privatnog ključa napadača.
.webp)
Nakon što se enkripcija završi, ransomware mijenja registar kako bi promijenio pozadinu radne površine, prikazujući žrtvama poruku s zahtjevom za otkupninu.
S obzirom na sofisticirane tehnike i rastuću bazu žrtava, sigurnosni stručnjaci trebali bi dati prioritet validaciji svoje odbrane od ove nove prijetnje korištenjem novoizdanih alata za emulaciju.
Izvor: CyberSecurityNews
