Uma nova operação de ransomware como serviço chamada VanHelsing surgiu em 7 de março de 2025, reivindicando rapidamente pelo menos três vítimas. Ela suporta ataques em sistemas Windows, Linux, BSD, ARM e ESXi, com afiliados retendo 80% dos resgates após um depósito de US$ 5.000. O grupo proíbe o direcionamento a entidades na Comunidade dos Estados Independentes.
VanHelsing representa uma evolução sofisticada no implantação de ransomware, observada pela primeira vez em 7 de março de 2025. Operando como uma plataforma de Ransomware como Serviço (RaaS), ela reduz as barreiras para afiliados ao exigir apenas um depósito de US$ 5.000 para acesso às suas ferramentas e infraestrutura. Os afiliados ficam com 80% dos resgates coletados, fomentando escalonamento rápido e ataques generalizados.
A ampla compatibilidade da operação a diferencia, mirando Windows, Linux, arquiteturas BSD, ARM e ambientes de virtualização ESXi. Esse suporte multiplataforma expande significativamente a base potencial de vítimas além das ameaças típicas focadas em Windows. Em duas semanas de seu lançamento, VanHelsing reivindicou pelo menos três violações bem-sucedidas, com negociações de resgate atingindo US$ 500.000 em um caso.
Tecnicamente, o ransomware é um binário em C++ projetado para flexibilidade e resiliência. Ele cria um mutex nomeado “Global\VanHelsing” para evitar execuções simultâneas, contornável via parâmetro –Force. A prioridade do processo é definida como alta para criptografia mais rápida, ajustável com –no-priority para discrição. A criptografia usa chaves aleatórias únicas e nonces por arquivo, protegidas com o cifrador de fluxo ChaCha20 e uma chave pública Curve25519 incorporada, garantindo que a descriptografia exija a chave privada dos operadores.
Para eficiência, arquivos grandes — como aqueles acima de 1 GB ou ativos de banco de dados — são criptografados apenas em 30%, processados em blocos de 1 MB. O modo –Silent divide as operações em fases: criptografia primeiro, depois renomeação de arquivos com extensão .vanhelsing, reduzindo riscos de detecção por ferramentas de segurança de endpoint.
O movimento lateral aprimora sua ameaça, escaneando servidores SMB, enumerando compartilhamentos (evitando os críticos como NETLOGON e sysvol) e usando psexec.exe empacotado para execução remota. Ele exclui Cópias de Sombra de Volume do Windows via consultas WMI para dificultar a recuperação. Duas variantes, compiladas com cinco dias de diferença, indicam desenvolvimento contínuo baseado em feedback e respostas defensivas.
A mitigação enfatiza backups offline, segmentação de rede e monitoramento de comportamentos como exclusão de cópias de sombra e tráfego SMB anômalo.
