VanHelsing と呼ばれる新しいランサムウェア・アズ・ア・サービス運用が 2025 年 3 月 7 日に登場し、迅速に少なくとも 3 人の被害者を主張しました。Windows、Linux、BSD、ARM、ESXi システムへの攻撃をサポートし、アフィリエイトは 5,000 ドルのデポジット後に身代金の 80% を保持します。グループは独立国家共同体内のエンティティを標的にすることを禁止しています。
VanHelsing は、ランサムウェアの展開における洗練された進化を表しており、2025 年 3 月 7 日に初めて観測されました。Ransomware-as-a-Service (RaaS) プラットフォームとして動作し、ツールとインフラへのアクセスに 5,000 ドルのデポジットのみを要求することで、アフィリエイトの障壁を下げます。アフィリエイトは収集された身代金の 80% を保持し、急速なスケーリングと広範な攻撃を促進します。
運用 の広範な互換性がそれを際立たせ、Windows、Linux、BSD、ARM アーキテクチャ、および ESXi 仮想化環境を標的にします。このマルチプラットフォームサポートは、典型的な Windows 中心の脅威を超えて潜在的な被害者基盤を大幅に拡大します。デビューから 2 週間以内に、VanHelsing は少なくとも 3 件の成功した侵害を主張し、一つのケースでは身代金交渉が 500,000 ドルに達しました。
技術的には、ランサムウェアは柔軟性と回復力を目的とした C++ バイナリです。「Global\VanHelsing」 という名前のミューテックスを作成して同時実行を避け、–Force パラメータで回避可能です。プロセス優先度は高速暗号化のために高く設定され、ステルス用に –no-priority で調整可能です。暗号化はファイルごとにユニークなランダムキーおよびノンスを使用し、ChaCha20 ストリーム暗号と埋め込み Curve25519 公開鍵で保護され、オペレーターの秘密鍵が必要な復号を保証します。
効率のため、1 GB を超える大規模ファイルやデータベース資産などは 30% のみ暗号化され、1 MB チャンクで処理されます。–Silent モードは操作を段階に分け、まず暗号化、次に .vanhelsing 拡張子でファイル名を変更し、エンドポイントセキュリティツールからの検知リスクを低減します。
横方向移動が脅威を強化し、SMB サーバーをスキャン、共有を列挙(NETLOGON や sysvol などの重要 ones を避け)、バンドルされた psexec.exe を使用したリモート実行を行います。WMI クエリ経由で Windows Volume Shadow Copies を削除し、回復を妨げます。5 日間隔でコンパイルされた 2 つのバリアントは、フィードバックと防御応答に基づく継続的な開発を示しています。
緩和策は、オフライン バックアップ、ネットワーク セグメンテーション、およびシャドウ コピー削除や異常 SMB トラフィックなどの動作の監視を強調します。
