Lumea cibernetică a fost recent zguduită de apariția unui nou serviciu ransomware-as-a-service (RaaS) numit VanHelsing, lansat pe 7 martie 2025. Acest program inovator, conceput pentru a atrage atât hackeri experimentați, cât și începători, promite eficiență și flexibilitate, dar vine cu amenințări severe pentru victimele sale.
Modelul RaaS și atractivitatea acestuia
VanHelsing funcționează pe baza unui model RaaS bine structurat. Afiliații se pot înscrie cu un depozit de 5.000 USD și primesc 80% din plățile de răscumpărare, în timp ce operatorii principali păstrează restul de 20%. Aceasta face ca programul să fie atractiv pentru o gamă largă de atacatori.
Funcționalități avansate și evoluție rapidă
VanHelsing este un instrument ransomware sofisticat, capabil să vizeze mai multe tipuri de sisteme, inclusiv Windows, Linux, BSD, ARM și ESXi. În mai puțin de două săptămâni de la lansare, a infectat deja trei victime, cerând plăți de răscumpărare semnificative – până la 500.000 USD.
Ransomware-ul este scris în C++ și include multiple argumente de linie de comandă care permit atacatorilor să personalizeze procesul de criptare. Aceste argumente controlează ce fișiere sunt criptate, dacă sunt vizate unități de rețea sau doar locale și alte comportamente.
Regulile nescrise ale criminalității cibernetice
Un detaliu interesant este că VanHelsing respectă o regulă comună în rândul operațiunilor ransomware din estul Europei: sistemele din țările CSI (Comunitatea Statelor Independente) sunt excluse de la criptare. Această regulă reflectă posibila origine a autorilor ransomware-ului.
Notele de răscumpărare: mesajul atacatorului
După criptarea sistemelor, victimele primesc note de răscumpărare prin care sunt informate că datele lor personale și financiare au fost compromise. Aceste note solicită plata în Bitcoin și avertizează victimele să nu încerce să utilizeze decriptori terți, sub amenințarea ștergerii permanente a datelor.
Acesta este un exemplu al modului în care VanHelsing a intrat rapid în centrul atenției comunității cibernetice.
Sursa: Check Point Research
