Une nouvelle opération de ransomware en tant que service appelée VanHelsing est apparue le 7 mars 2025, revendiquant rapidement au moins trois victimes. Elle prend en charge les attaques sur les systèmes Windows, Linux, BSD, ARM et ESXi, les affiliés retenant 80 % des rançons après un dépôt de 5 000 dollars. Le groupe interdit de cibler des entités dans la Communauté des États indépendants.
VanHelsing représente une évolution sophistiquée dans le déploiement de ransomwares, observée pour la première fois le 7 mars 2025. Fonctionnant comme une plateforme Ransomware-as-a-Service (RaaS), elle abaisse les barrières pour les affiliés en exigeant seulement un dépôt de 5 000 dollars pour accéder à ses outils et infrastructure. Les affiliés conservent 80 % des rançons collectées, favorisant une expansion rapide et des attaques généralisées.
La large compatibilité de l'opération la distingue, ciblant Windows, Linux, architectures BSD, ARM et environnements de virtualisation ESXi. Ce support multi-plateforme élargit considérablement la base potentielle de victimes au-delà des menaces typiquement centrées sur Windows. Dans les deux semaines suivant son lancement, VanHelsing a revendiqué au moins trois violations réussies, avec des négociations de rançon atteignant 500 000 dollars dans un cas.
Techniquement, le ransomware est un binaire C++ conçu pour la flexibilité et la résilience. Il crée un mutex nommé « Global\VanHelsing » pour éviter les exécutions simultanées, contournable via le paramètre –Force. La priorité du processus est définie sur haute pour une encryption plus rapide, ajustable avec –no-priority pour la discrétion. L'encryption utilise des clés aléatoires uniques et des nonces par fichier, sécurisées avec le chiffre de flux ChaCha20 et une clé publique Curve25519 intégrée, garantissant que la décryption nécessite la clé privée des opérateurs.
Pour l'efficacité, les fichiers volumineux — comme ceux de plus de 1 Go ou les actifs de base de données — ne sont encryptés qu'à 30 %, traités par blocs de 1 Mo. Le mode –Silent divise les opérations en phases : encryption d'abord, puis renommage des fichiers avec l'extension .vanhelsing, réduisant les risques de détection par les outils de sécurité aux points d'extrémité.
Le mouvement latéral renforce sa menace, en scannant les serveurs SMB, en énumérant les partages (en évitant les critiques comme NETLOGON et sysvol) et en utilisant psexec.exe inclus pour l'exécution à distance. Il supprime les Copies d'ombre de volume Windows via des requêtes WMI pour entraver la récupération. Deux variantes, compilées à cinq jours d'intervalle, indiquent un développement continu basé sur les retours et les réponses défensives.
La mitigation met l'accent sur les sauvegardes hors ligne, la segmentation du réseau et la surveillance des comportements comme la suppression de copies d'ombre et le trafic SMB anomal.
