En ny ransomware-as-a-service-operation kallad VanHelsing dök upp den 7 mars 2025 och hävdade snabbt minst tre offer. Den stöder attacker mot Windows, Linux, BSD, ARM och ESXi-system, med affiliates som behåller 80 % av lösenmedlen efter en insättning på 5 000 dollar. Gruppen förbjuder riktning mot enheter i Oberoende staternas samvälde.
VanHelsing representerar en sofistikerad evolution inom ransomware-distribution, observerad för första gången den 7 mars 2025. Som en Ransomware-as-a-Service (RaaS)-plattform sänker den trösklarna för affiliates genom att bara kräva en insättning på 5 000 dollar för tillgång till verktyg och infrastruktur. Affiliates behåller 80 % av insamlade lösenmedelsbelopp, vilket främjar snabb skalning och utbredda attacker.
Operationens breda kompatibilitet skiljer den åt, med målsättning mot Windows, Linux, BSD, ARM-arkitekturer och ESXi-virtualiseringsmiljöer. Detta multi-plattformsstöd utökar den potentiella offerbasen avsevärt bortom typiska Windows-fokuserade hot. Inom två veckor från debut sades VanHelsing ha minst tre framgångsrika intrång, med lösenmedelsförhandlingar som nådde 500 000 dollar i ett fall.
Tekniskt sett är ransomwaret en C++-binär designad för flexibilitet och motståndskraft. Det skapar en mutex namngiven ”Global\VanHelsing” för att undvika simultana körningar, som kan kringgås via parametern –Force. Processprioritet sätts högt för snabbare kryptering, justerbart med –no-priority för diskretion. Kryptering använder unika slumpmässiga nycklar och nonces per fil, säkrade med ChaCha20-strömchiffer och en inbäddad Curve25519-offentlig nyckel, vilket säkerställer att dekryptering kräver operatörernas privata nyckel.
För effektivitet krypteras stora filer — såsom de över 1 GB eller databastillgångar — endast till 30 %, bearbetade i 1 MB-block. –Silent-läget delar upp operationer i faser: kryptering först, sedan omdöpning av filer med .vanhelsing-tillägg, vilket minskar detektionsrisker från endpoint-säkerhetsverktyg.
Laterell rörelse förstärker dess hot, genom att skanna SMB-servrar, enumerera delningar (undvikande kritiska som NETLOGON och sysvol) och använda inkluderad psexec.exe för fjärrkörning. Det raderar Windows Volume Shadow Copies via WMI-frågor för att hindra återställning. Två varianter, kompilerade fem dagar isär, indikerar pågående utveckling baserat på feedback och defensiva svar.
Skadestånd betonar offline-backuper, nätverkssegmentering och övervakning av beteenden som skuggkopiering och anomal SMB-trafik.
