Operasi ransomware-as-a-service baru bernama VanHelsing muncul pada 7 Maret 2025, dengan cepat mengklaim setidaknya tiga korban. Ini mendukung serangan pada sistem Windows, Linux, BSD, ARM, dan ESXi, dengan afiliasi mempertahankan 80% tebusan setelah setoran $5.000. Kelompok ini melarang penargetan entitas di Persemakmuran Negara-Negara Merdeka.
VanHelsing mewakili evolusi canggih dalam penerapan ransomware, pertama kali terlihat pada 7 Maret 2025. Beroperasi sebagai platform Ransomware-as-a-Service (RaaS), ia menurunkan hambatan bagi afiliasi dengan hanya memerlukan setoran $5.000 untuk akses ke alat dan infrastrukturnya. Afiliasi mempertahankan 80% tebusan yang dikumpulkan, mendorong penskalaan cepat dan serangan yang meluas.
Kompatibilitas luas operasi ini membedakannya, menargetkan Windows, Linux, arsitektur BSD, ARM, dan lingkungan virtualisasi ESXi. Dukungan multi-platform ini memperluas basis korban potensial secara signifikan di luar ancaman yang berfokus pada Windows secara khas. Dalam dua minggu sejak debutnya, VanHelsing mengklaim setidaknya tiga pelanggaran sukses, dengan negosiasi tebusan mencapai $500.000 dalam satu kasus.
Secara teknis, ransomware ini adalah biner C++ yang dirancang untuk fleksibilitas dan ketahanan. Ia membuat mutex bernama “Global\VanHelsing” untuk menghindari eksekusi bersamaan, yang dapat dilewati melalui parameter –Force. Prioritas proses diatur tinggi untuk enkripsi lebih cepat, dapat disesuaikan dengan –no-priority untuk stealth. Enkripsi menggunakan kunci acak unik dan nonce per file, diamankan dengan cipher stream ChaCha20 dan kunci publik Curve25519 yang tertanam, memastikan dekripsi memerlukan kunci pribadi operator.
Untuk efisiensi, file besar—seperti yang melebihi 1 GB atau aset basis data—hanya dienkripsi hingga 30%, diproses dalam potongan 1 MB. Mode –Silent membagi operasi menjadi fase: enkripsi terlebih dahulu, kemudian mengubah nama file dengan ekstensi .vanhelsing, mengurangi risiko deteksi dari alat keamanan endpoint.
Pergerakan lateral meningkatkan ancamannya, memindai server SMB, mendaftarkan berbagi (menghindari yang kritis seperti NETLOGON dan sysvol), dan menggunakan psexec.exe yang dibundel untuk eksekusi jarak jauh. Ia menghapus Salinan Bayangan Volume Windows melalui kueri WMI untuk menghambat pemulihan. Dua varian, dikompilasi dengan jarak lima hari, menunjukkan pengembangan berkelanjutan berdasarkan umpan balik dan respons defensif.
Pencegahan menekankan cadangan offline, segmentasi jaringan, dan pemantauan perilaku seperti penghapusan salinan bayangan dan lalu lintas SMB anomali.
