Una nueva operación de ransomware como servicio llamada VanHelsing surgió el 7 de marzo de 2025, reclamando rápidamente al menos tres víctimas. Soporta ataques en sistemas Windows, Linux, BSD, ARM y ESXi, con afiliados reteniendo el 80% de los rescates tras un depósito de 5000 dólares. El grupo prohíbe atacar entidades en la Comunidad de Estados Independientes.
VanHelsing representa una evolución sofisticada en el despliegue de ransomware, observada por primera vez el 7 de marzo de 2025. Operando como una plataforma de Ransomware como Servicio (RaaS), reduce las barreras para los afiliados al requerir solo un depósito de 5000 dólares para acceder a sus herramientas e infraestructura. Los afiliados conservan el 80% de los rescates recaudados, fomentando una escalada rápida y ataques generalizados.
La amplia compatibilidad de la operación la distingue, apuntando a arquitecturas Windows, Linux, BSD, ARM y entornos de virtualización ESXi. Este soporte multiplataforma amplía significativamente la base potencial de víctimas más allá de las amenazas típicas centradas en Windows. En las dos semanas posteriores a su debut, VanHelsing reclamó al menos tres brechas exitosas, con negociaciones de rescate que alcanzaron los 500.000 dólares en un caso.
Técnicamente, el ransomware es un binario en C++ diseñado para flexibilidad y resiliencia. Crea un mutex llamado “Global\VanHelsing” para evitar ejecuciones concurrentes, que se puede omitir mediante el parámetro –Force. La prioridad del proceso se establece en alto para una encriptación más rápida, ajustable con –no-priority para sigilo. La encriptación utiliza claves aleatorias únicas y nonces por archivo, aseguradas con el cifrado de flujo ChaCha20 y una clave pública Curve25519 incrustada, garantizando que la desencriptación requiera la clave privada de los operadores.
Por eficiencia, archivos grandes —como aquellos de más de 1 GB o activos de bases de datos— se encriptan solo al 30%, procesados en fragmentos de 1 MB. El modo –Silent divide las operaciones en fases: encriptación primero, luego renombrado de archivos con la extensión .vanhelsing, reduciendo riesgos de detección de herramientas de seguridad de punto final.
El movimiento lateral mejora su amenaza, escaneando servidores SMB, enumerando acciones (evitando las críticas como NETLOGON y sysvol) y utilizando psexec.exe incluido para ejecución remota. Elimina copias de sombra de volumen de Windows mediante consultas WMI para dificultar la recuperación. Dos variantes, compiladas con cinco días de diferencia, indican un desarrollo continuo basado en retroalimentación y respuestas defensivas.
La mitigación enfatiza copias de seguridad offline, segmentación de red y monitoreo de comportamientos como la eliminación de copias de sombra y tráfico SMB anómalo.