Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

11 نوفمبر، 2025

من إعداد الذكاء الاصطناعي

صورة مولدة بواسطة الذكاء الاصطناعي

عملية جديدة لبرمجيات الفدية كخدمة تُدعى VanHelsing ظهرت في 7 مارس 2025، مدعية بسرعة على الأقل ثلاث ضحايا. تدعم هجمات على أنظمة Windows وLinux وBSD وARM وESXi، مع الشركاء التابعين يحتفظون بنسبة 80% من الفديات بعد إيداع 5000 دولار. يحظر المجموعة استهداف كيانات في رابطة الدول المستقلة.

يمثل VanHelsing تطورًا متطورًا في نشر برمجيات الفدية، تم ملاحظته لأول مرة في 7 مارس 2025. يعمل كمنصة برمجيات الفدية كخدمة (RaaS)، مما يخفض الحواجز أمام الشركاء التابعين من خلال طلب إيداع قدره 5000 دولار فقط للوصول إلى أدواته وبنيته التحتية. يحتفظ الشركاء التابعون بنسبة 80% من الفديات المجموعة، مما يعزز التوسع السريع والهجمات الواسعة النطاق.

تُميز التوافق الواسع للعملية، حيث تستهدف أنظمة Windows وLinux وBSD وهياكل ARM وبيئات الافتراضية ESXi. يوسع هذا الدعم المتعدد المنصات قاعدة الضحايا المحتملين بشكل كبير خارج التهديدات النموذجية المركزة على Windows. في غضون أسبوعين من إطلاقه، ادعى VanHelsing على الأقل ثلاثة اختراقات ناجحة، مع مفاوضات فدية تصل إلى 500000 دولار في حالة واحدة.

تقنيًا، برمجية الفدية هي ثنائي C++ مصمم للمرونة والصمود. ينشئ mutex باسم “Global\VanHelsing” لتجنب التنفيذات المتزامنة، قابل للتجاوز عبر المعامل –Force. يتم تعيين أولوية العملية عالية للتشفير الأسرع، قابلة للتعديل باستخدام –no-priority للاختباء. يستخدم التشفير مفاتيح عشوائية فريدة وnonces لكل ملف، آمنة باستخدام شيفرة التدفق ChaCha20 ومفتاح عام Curve25519 مدمج، مما يضمن أن الفك يتطلب المفتاح الخاص للمتشغلين.

للكفاءة، يتم تشفير الملفات الكبيرة —مثل تلك التي تزيد عن 1 جيجابايت أو أصول قواعد البيانات— بنسبة 30% فقط، معالجة في قطع بحجم 1 ميجابايت. يقسم وضع –Silent العمليات إلى مراحل: التشفير أولاً، ثم إعادة تسمية الملفات بامتداد .vanhelsing، مما يقلل من مخاطر الكشف من أدوات الأمان في نقاط النهاية.

يعزز الحركة الجانبية تهديده، مع فحص خوادم SMB، تعداد المشاركات (تجنب الحرجة مثل NETLOGON وsysvol)، واستخدام psexec.exe المضمن للتنفيذ عن بعد. يحذف نسخ الظل لأحجام Windows عبر استفسارات WMI لتعطيل الاسترداد. اثنتان من المتغيرات، المجمعة بفارق خمسة أيام، تشيران إلى تطوير مستمر بناءً على التغذية الراجعة والاستجابات الدفاعية.

تركز التخفيف على النسخ الاحتياطي غير المتصل، تقسيم الشبكة، ومراقبة السلوكيات مثل حذف نسخ الظل وتدفق SMB غير طبيعي.

ما يقوله الناس

تركز المناقشات على X على الظهور السريع لبرمجيات الفدية كخدمة VanHelsing في مارس 2025، استهدافها المتعدد المنصات لأنظمة Windows وLinux وBSD وARM وESXi، ادعاءات الضحايا المبكرين بما في ذلك مدينة في تكساس وشركات تقنية، وتسريب رئيسي لكود المصدر في مايو 2025 بعد نزاع داخلي، مما يثير مخاوف بشأن استقرار العملية والإمكانية لمتغيرات جديدة. الردود غالبًا محايدة ومعلوماتية من خبراء الأمن السيبراني وحسابات الأخبار، مع تنبيهات تؤكد الحاجة إلى تعزيز الدفاعات ضد تكتيكات الابتزاز المزدوج.

Yesterday, I ID'd a new variant of #VanHelsing #Ransomware that encrypts with .vanlocker!

MD5
3e063dc0de937df5841cb9c2ff3e4651
5c254d25751269892b6f02d6c6384aef

193.37.69.225
193.37.69.162https://t.co/tROBE7uw8I #OSINT #security #malware #darkweb #hack #infosec #netsec #TOR pic.twitter.com/QkzFF5SNUD
— RAKESH KRISHNAN (@RakeshKrish12) ٢٠ مارس ٢٠٢٥

VanHelsing Ransomware Source Code Leaked After Failed $10K Sale Attempt

In a dramatic turn of events, the VanHelsing ransomware-as-a-service (RaaS) operation, which emerged just two months ago, has been rocked by a major leak of its infrastructure. According to BleepingComputer,… pic.twitter.com/4GZNftANyg
— CTI Academy (@CTIAcademy) ٢١ مايو ٢٠٢٥

Cross-Platform #VanHelsing Ransomware Targets Windows, Linux and VMware ESXi

While #ransomware groups are increasingly developing #Linux variants, most attacks remain concentrated on #Windows environments—for now...https://t.co/slndxRX23x #cybersecurity #infosec #security… pic.twitter.com/CAXo0fKLEn
— HalcyonAI (@HalcyonAi) ٣١ مارس ٢٠٢٥

🚨 VanHelsing Ransomware hit 3 victims within weeks of launch. Cross-platform, $500K ransoms, and growing fast. Intel 471 is tracking it, read the full report: https://t.co/ejkEhQkrIt #vanhelsing #ransomware #emergingthreats #threathunting #cybersecurity pic.twitter.com/4vOr0pWgIl
— Intel 471 (@Intel471Inc) ٢ أبريل ٢٠٢٥

VanHelsing ransomware builder leaked online by old developer

The VanHelsing ransomware operation has leaked its own source code after an alleged former developer, 'th30c0der,' attempted to sell it on the RAMP cybercrime forum for $10,000. The leak includes the Windows encryptor… pic.twitter.com/vLlji7wWoU
— Ransom-DB (@Ransom_DB) ٢٠ مايو ٢٠٢٥

VanHelsing ransomware builder leaked on hacking forum pic.twitter.com/Y35PLfM8IG
— SabatAge (@sabatage) ٢١ مايو ٢٠٢٥

Vanhelsing Ransomware

- Locker Sample(hash): 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17
- extension: .vanhelsing
- ransomnote: README.txt pic.twitter.com/sIzaAAPb7S
— mrglwglwgl (@mrglwglwgl) ١٧ مارس ٢٠٢٥

🚨Alleged Sale of Vanhelsing Ransomware Source Code pic.twitter.com/CmyTbCnvM5
— Dark Web Informer (@DarkWebInformer) ٢٠ مايو ٢٠٢٥

New VanHelsing ransomware targets Windows, ARM, ESXi systems https://t.co/697XAo5P5T #Security
— The Cyber Security Hub™ (@TheCyberSecHub) ٢٤ مارس ٢٠٢٥

#VanHelsing #Ransomware group has allegedly compromised the systems of the City of Bellville, Texas (https://t.co/gQbYhg9d4W), the county seat of Austin County, providing local government services, public safety, infrastructure maintenance, and community development 🇺🇸.

It… pic.twitter.com/TGwarc9V6H
— VenariX (@_venarix_) ١٨ مارس ٢٠٢٥

برمجية الفدية VanHelsing RaaS تستهدف منصات متعددة

ما يقوله الناس

مقالات ذات صلة

Daemon Tools app hit by monthlong supply-chain attack

ShinyHunters exploits critical PeopleSoft zero-day vulnerability

Microsoft packages hit with credential-stealing malware for second time

Experts warn ransomware groups use price discounts as sales tactic

Zero-day exploit bypasses default windows 11 bitlocker encryption

Standard Bank data dumped daily after cyberattack ransom refusal

يستخدم هذا الموقع ملفات تعريف الارتباط