28 Марта 2025 09:18 28 Мар 2025 09:18 |

Поделиться

Сдаваемый напрокат шифровальщик VanHelsing атакует Windows, Linux и BSD

Многоплатформенный вор

Эксперты компаний Cyfimra и Check Point Research опубликовали исследование новой многоплатформенной киберкриминальной операции VanHelsing. Check Point утверждает, что стоящая за этим группировка является русскоязычной.

VanHelsing предлагает многоплатформенный шифровальщик, способный работать в средах Windows, Linux, BSD, ARM и ESXi. Вредонос сдается в аренду по RaaS-модели: непосредственные атаки осуществляют аффилиаты, а разработчики платформы снимают 20% комиссию с каждого выплаченного выкупа.

Реклама платформы началась 7 марта на киберкриминальных форумах. Опытным «партнерам» с «хорошей репутацией» предлагалось подключиться к игре бесплатно, с незнакомых взимался «страховой депозит» $5000. Оплата осуществляется через систему на базе блокчейна - для обеспечения безопасности.

Атаковать цели внутри СНГ операторы VanHelsing запрещают.

Аффилиатам обещаны автоматизация всех операций и прямая техподдержка от разработчиков.

Файлы, которые «партнеры» крадут у жертв, хранятся на серверах группировки, и ее представители уверяют, что обеспечивают максимальную безопасность своим системам. В том числе, через регулярные пентесты.

Портал «сливов» VanHelsing на данный момент упоминает лишь трех жертв: две из них располагаются в США, и еще одна во Франции. В качестве одной из жертв обозначен город в штате Техас; две другие - это технологические компании.

По данным Check Point, злоумышленники требуют с жертв $500 тыс.

Технические особенности

Что касается самого шифровальщика, то, как выяснили исследователи, он написан на С++ и впервые был задействован в атаках 16 марта.

Для шифрования используется алгоритм ChaCha20: для каждого файла генерируется 32-байтный (256-битный) симметричный ключ и 12-байтовое одноразовое число. Эти величины затем шифруются с помощью встроенного публичного ключа Curve25519, и получившаяся пара упаковывается в каждый зашифрованный файл.

Файлы размером более 1 гигабайта шифруются только частично; некрупные файлы кодируются полностью.

Вредонос обладает довольно широкими возможностями по настройке под каждую предполагаемую жертву: например, можно выбрать, какие приводы и каталоги шифровать, какие ограничения накладывать на шифровальщики, настроить распространение через протокол SMB, и удалять или нет теневые копии.

Отдельное внимание заслуживает «режим скрытности», при котором шифровальщик изменяет расширения файлов (.vanhelsing) не сразу после шифрования каждого из них, а только после того как «процедура» уже завершилась.

«Этим действительно может обеспечиваться скрытность, поскольку, с точки зрения защитных средств, изначально паттерны обращения к файлам не отличаются от тех, что демонстрируют легитимные программы» — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «С другой стороны, средства поведенческого анализа все равно должны будут обнаружить и пресечь деятельность шифровальщика».

По свидетельству специалистов Check Point, в коде шифровальщика присутствуют некоторые ошибки, например, несовпадения расширений файлов, ошибки в функциях, отвечающих за списки исключений, что может вызвать двойное шифрование. Кроме того, не все функции, заявленные в коде, действительно реализованы.

Но в целом это выглядит как серьезная потенциальная угроза, причем запрет на атаки на страны СНГ совсем не обязательно будет соблюдаться.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка