С начала марта на хакерских форумах активно рекламируется новый RaaS-шифровальщик VanHelsing, представляющий собой многоплатформенную кибератаку, разработанную русскоязычными специалистами. Согласно отчету компаний Cyfimra и Check Point Research, VanHelsing предлагает шифровальщик, работающий в средах Windows, Linux, BSD, ARM и ESXi. Платформа действует по RaaS-модели с комиссией для разработчиков в размере 20% от выплат выкупов.
Реклама началась 7 марта, где опытным партнёрам предлагалось участвовать бесплатно, а от незнакомцев требовался депозит $5000. Финансовые операции обеспечиваются через блокчейн-систему для безопасности. Важно отметить, что атаки в странах СНГ запрещены.
Аффилиатам обещана автоматизация и прямой клиентский сервис. Данные, украденные у жертв, сохраняются на серверах VanHelsing, что, по утверждениям разработчиков, гарантирует максимальную безопасность через регулярные пентесты. На данный момент известно о трёх жертвах: две базируются в США и одна во Франции, включая город в Техасе и технологические компании.
Технически шифровальщик написан на С++ и осуществляет атаки с помощью алгоритма ChaCha20, где для каждого файла генерируются уникальные ключи и одноразовое число, шифруемые через Curve25519. Файлы более 1 ГБ шифруются частично, а более небольшие — полностью.
Особенностью VanHelsing является его способность адаптироваться под конкретные цели, включая выбор директорий для шифрования, использование протокола SMB и управление теневыми копиями. Особый режим скрытности изменяет расширения файлов только после завершения шифрования, что затрудняет их обнаружение.
Однако специалисты Check Point отмечают наличие ошибок в коде, что может привести к двойному шифрованию и некорректной работе. Это говорит о потенциальной угрозе, несмотря на существующие запреты на атаки в СНГ, которые могут не соблюдаться.
