Nova i brzo razvijajuća operacija ransomware-as-a-service (RaaS) pod nazivom VanHelsingRaaS pojavila se u okruženju sajber kriminala.
Pokrenuta 7. marta 2025., ova sofisticirana prijetnja je već odnijela tri žrtve za manje od dvije sedmice, tražeći otkupninu od 500.000 dolara uplaćenih na Bitcoin novčanike.
Operacija omogućava podružnicama da se pridruže sa depozitom od 5.000 dolara, nudeći im 80% isplata otkupnine, dok glavni operateri zadržavaju 20%.
VanHelsingRaaS se istakao širenjem izvan Windowsa kako bi ciljao više platformi, uključujući Linux, BSD, ARM i ESXi sisteme.
.webp)
Ova mogućnost unakrsne platforme značajno povećava potencijal prijetnji u poslovnim okruženjima.
Usluga pruža podružnicama intuitivni kontrolni panel koji pojednostavljuje izvođenje napada ransomware-a, smanjujući tehničku barijeru za ulazak cyber kriminalaca.
Istraživači Check Pointa otkrili su dvije varijante VanHelsing ransomware-a, sastavljene u razmaku od samo pet dana, demonstrirajući brz razvojni ciklus operacije.
Analiza je otkrila značajna ažuriranja između verzija, naglašavajući posvećenost autora malicioznog softvera razvoju njihovih mogućnosti prijetnji.
Jedino operativno ograničenje koje su nametnuli RaaS operateri je zabrana ciljanja sistema unutar zemalja Zajednice nezavisnih država (ZND), uobičajena praksa među operacijama kibernetičkog kriminala sa sjedištem u Rusiji .
Ransomware koristi sofisticirane tehnike šifrovanja, koristeći javni ključ Curve 25519 ugrađen u kod.
Za svaku šifrovanu datoteku, generiše dve nasumične efemerne vrednosti (32 bajta i 12 bajtova) koje se koriste kao ključ i nonce za šifrovanje algoritma ChaCha20.
Datoteke se preimenuju sa ekstenzijom .vanhelsing nakon šifrovanja, a poruka o otkupnini se ispušta u svaki folder.
Tihi način rada: izbjegavanje otkrivanja
Posebno zabrinjavajuća karakteristika VanHelsingRaaS-a je njegova implementacija “Tihog” režima, koji se aktivira preko –Silent argumenta komandne linije.
Ovaj način rada dijeli funkcionalnost malicioznog softvera u dvije različite faze kako bi se izbjegao sistem za otkrivanje.
.webp)
U normalnom radu, ransomware nabraja fascikle, identifikuje datoteke, šifruje ih i odmah ih preimenuje sa ekstenzijom .vanhelsing. Međutim, kada radi u tihom načinu rada, privremeno preskače korak preimenovanja datoteke.
Kod koji implementira ovu tehniku izbjegavanja posebno je vrijedan pažnje:-
if (!flag_silent_564DB0) {
formatString_40B0A0((char *)new_filepath, 0x1860, (const char *)L"%s.vanhelsing", *filepath);
if (!MoveFileExN(*filepath, new_filepath, 3u)) {
LastError = GetLastError();
}
}Nakon što su sve datoteke šifrovane u tihom načinu rada, ransomware izvodi drugi prolaz, ovaj put samo da bi preimenovao datoteke.
.webp)
Ovaj dvostepeni pristup pomaže da se izbjegnu sistemi za detekciju ponašanja koji bi mogli označiti istovremenu enkripciju i aktivnosti preimenovanja kao indikatore ponašanja ransomware-a.
Kako VanHelsingRaaS nastavlja da se razvija, sigurnosni profesionalci moraju ostati na oprezu protiv ove sofisticirane prijetnje koja se brzo širi.
Izvor: CyberSecurityNews
