Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.
AIによって生成された画像

VanHelsing ransomware RaaS が複数のプラットフォームを標的に

AIによって生成された画像
日本語

VanHelsing と呼ばれる新しいランサムウェア・アズ・ア・サービス運用が 2025 年 3 月 7 日に登場し、迅速に少なくとも 3 人の被害者を主張しました。Windows、Linux、BSD、ARM、ESXi システムへの攻撃をサポートし、アフィリエイトは 5,000 ドルのデポジット後に身代金の 80% を保持します。グループは独立国家共同体内のエンティティを標的にすることを禁止しています。

VanHelsing は、ランサムウェアの展開における洗練された進化を表しており、2025 年 3 月 7 日に初めて観測されました。Ransomware-as-a-Service (RaaS) プラットフォームとして動作し、ツールとインフラへのアクセスに 5,000 ドルのデポジットのみを要求することで、アフィリエイトの障壁を下げます。アフィリエイトは収集された身代金の 80% を保持し、急速なスケーリングと広範な攻撃を促進します。

運用 の広範な互換性がそれを際立たせ、Windows、Linux、BSD、ARM アーキテクチャ、および ESXi 仮想化環境を標的にします。このマルチプラットフォームサポートは、典型的な Windows 中心の脅威を超えて潜在的な被害者基盤を大幅に拡大します。デビューから 2 週間以内に、VanHelsing は少なくとも 3 件の成功した侵害を主張し、一つのケースでは身代金交渉が 500,000 ドルに達しました。

技術的には、ランサムウェアは柔軟性と回復力を目的とした C++ バイナリです。「Global\VanHelsing」 という名前のミューテックスを作成して同時実行を避け、–Force パラメータで回避可能です。プロセス優先度は高速暗号化のために高く設定され、ステルス用に –no-priority で調整可能です。暗号化はファイルごとにユニークなランダムキーおよびノンスを使用し、ChaCha20 ストリーム暗号と埋め込み Curve25519 公開鍵で保護され、オペレーターの秘密鍵が必要な復号を保証します。

効率のため、1 GB を超える大規模ファイルやデータベース資産などは 30% のみ暗号化され、1 MB チャンクで処理されます。–Silent モードは操作を段階に分け、まず暗号化、次に .vanhelsing 拡張子でファイル名を変更し、エンドポイントセキュリティツールからの検知リスクを低減します。

横方向移動が脅威を強化し、SMB サーバーをスキャン、共有を列挙(NETLOGON や sysvol などの重要 ones を避け)、バンドルされた psexec.exe を使用したリモート実行を行います。WMI クエリ経由で Windows Volume Shadow Copies を削除し、回復を妨げます。5 日間隔でコンパイルされた 2 つのバリアントは、フィードバックと防御応答に基づく継続的な開発を示しています。

緩和策は、オフライン バックアップ、ネットワーク セグメンテーション、およびシャドウ コピー削除や異常 SMB トラフィックなどの動作の監視を強調します。

人々が言っていること

X での議論は、2025 年 3 月の VanHelsing ランサムウェア・アズ・ア・サービスの急速な出現、Windows、Linux、BSD、ARM、ESXi システムへのクロスプラットフォーム標的化、テキサス州の都市やテック企業を含む初期被害者の主張、および 2025 年 5 月の内部紛争に続く主要なソースコード漏洩に焦点を当て、運用の安定性と新バリアントの可能性に対する懸念を引き起こしています。反応はサイバーセキュリティ専門家とニュースアカウントからの主に中立的で情報提供的なもので、ダブルエクストルション戦術に対する強化された防御の必要性を強調するアラートです。

関連記事

Dramatic illustration of Stryker's operations center disrupted by Iran-linked cyberattack, with error-filled screens and intact medical devices.
AIによって生成された画像

Iran-linked hackers disrupt Stryker's network in apparent retaliation

AIによるレポート AIによって生成された画像

A cyberattack attributed to the Iran-aligned Handala Hack group has disrupted the Microsoft environment of medical device maker Stryker, paralyzing much of its global operations. The incident, which emerged shortly after US and Israeli airstrikes on Iran, involved data wiping across tens of thousands of computers. Stryker confirmed the attack is contained, with no impact on its critical medical devices.

New SysUpdate malware variant targets Linux systems

A new variant of the SysUpdate malware has been discovered targeting Linux systems, featuring advanced encryption for command-and-control communications. Security researchers at LevelBlue identified the threat during a digital forensics engagement and developed a tool to decrypt its traffic. The malware disguises itself as a legitimate system service to evade detection.

Researchers uncover new SysUpdate malware variant targeting Linux

AIによるレポート

Researchers at LevelBlue have identified a new variant of the SysUpdate malware aimed at Linux systems during a digital forensics and incident response engagement. The malware disguises itself as a legitimate system service and employs advanced encryption for command-and-control communications. By reverse-engineering it, the team created tools to decrypt its traffic more quickly.

アフリカ

Standard Bank data dumped daily after cyberattack ransom refusal

ゲーミング

FBI seeks victims of malware in Steam indie games

ゲーミング

Duet Night Abyss launcher spreads malware on Steam

The hacker news publishes weekly threatsday bulletin

The Hacker News has released its latest ThreatsDay Bulletin, focusing on various cybersecurity issues. The bulletin covers topics such as Kali Linux combined with Claude, Chrome crash traps, WinRAR flaws, and activities related to LockBit. It also includes over 15 additional stories on emerging threats.

Malicious npm packages harvest crypto keys and secrets

AIによるレポート

Nineteen malicious packages on the npm registry are spreading a worm known as SANDWORM_MODE. These packages steal crypto keys, CI secrets, API tokens, and AI API keys. The theft occurs through MCP injection.

2026/05/05 12:10

Daemon Tools app hit by monthlong supply-chain attack

2026/03/13 18:03

Veeam patches three critical security flaws in backup servers

2026/03/12 22:40

US and Europe disrupt SocksEscort proxy network

2026/03/09 15:31

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

2026/02/19 09:18

Experts claim ransomware attacks increasingly target firewalls

2026/02/17 10:18

OpenClaw AI agents targeted by infostealer malware for first time

このウェブサイトはCookieを使用します

サイトを改善するための分析にCookieを使用します。詳細については、プライバシーポリシーをお読みください。
拒否