Nieuwe VanHelsing-ransomware richt zich op Windows, ARM en ESXi-systemen

Een nieuwe multifactorransomware-as-a-service (RaaS) operatie, genaamd VanHelsing, heeft zijn intrede gedaan en richt zich op een breed scala aan systemen, waaronder Windows, Linux, BSD, ARM en ESXi. Deze ransomware werd voor het eerst op 7 maart gepromoot op ondergrondse cybercriminaliteitplatforms, waarbij ervaren partners een gratis toegang kregen, terwijl minder ervaren dreigingsactoren een aanbetaling van $5.000 moesten doen.

Recent onderzoek door CYFIRMA heeft de eerste documentatie van deze ransomware operatie opgeleverd, terwijl Check Point Research een diepgaandere analyse heeft gepubliceerd.

Inzicht in VanHelsing

De analisten van Check Point melden dat VanHelsing een Russisch cybercrimeproject is dat het aanvallen van systemen in de landen van de GOS (Gemenebest van Onafhankelijke Staten) verbiedt. Partners mogen 80% van de losgeldbetalingen behouden, terwijl de operators 20% in rekening brengen. Betalingen worden afgehandeld via een geautomatiseerd escrow-systeem dat gebruikmaakt van twee blockchain-bevestigingen voor extra beveiliging.

Geselecteerde partners krijgen toegang tot een panel met volledige operationele automatisering, inclusief directe ondersteuning van het ontwikkelingsteam. Gegevens die van de netwerken van de slachtoffers zijn gestolen, worden direct op de servers van de VanHelsing-operatie opgeslagen. De kernteamleden beweren regelmatig penetratietests uit te voeren om de veiligheid en betrouwbaarheid van het systeem te waarborgen.

Op dit moment vermeldt het extortieportaal van VanHelsing op het dark web drie slachtoffers, waarvan twee in de VS en één in Frankrijk. Een van de slachtoffers betreft een stad in Texas, terwijl de andere twee technologiebedrijven zijn. De extortiepagina van VanHelsing dreigt de gestolen bestanden binnen enkele dagen openbaar te maken als aan de financiële eisen niet wordt voldaan. Volgens het onderzoek van Check Point betreft dit een losgeld van $500.000.

De VanHelsing-ransomware

De VanHelsing-ransomware is geschreven in C++ en de eerste aanwijzingen wijzen erop dat deze voor het eerst op 16 maart in het wild is ingezet. VanHelsing maakt gebruik van het ChaCha20-algoritme voor bestandversleuteling, waarbij een 32-byte (256-bit) symmetrische sleutel en een 12-byte nonce voor elk bestand worden gegenereerd. Deze waarden worden vervolgens versleuteld met behulp van een ingebedde Curve25519-publieke sleutel, en het resulterende versleutelde sleutel/nonce-paar wordt in het versleutelde bestand opgeslagen.

VanHelsing versleutelt bestanden groter dan 1 GB gedeeltelijk, maar voert het volledige proces uit op kleinere bestanden. De malware ondersteunt uitgebreide CLI-aanpassingen om aanvallen per slachtoffer te specificeren, zoals het richten op specifieke schijven en mappen, het beperken van de reikwijdte van de versleuteling, verspreiding via SMB, het overslaan van schaduwkopieën en het inschakelen van een twee-fasen stealth-modus.

In de normale versleutelingsmodus telt VanHelsing bestanden en mappen, versleutelt de inhoud en hernoemt het resulterende bestand met de extensie ‘.vanhelsing’. In stealth-modus ontkoppelt de ransomware de versleuteling van het hernoemen van bestanden, wat de kans op alarmen verkleint omdat de bestand I/O-patronen normaal systeemgedrag nabootsen. Zelfs als beveiligingstools reageren aan het begin van de hernoemfase, zal bij de tweede doorloop de gehele doeldataset al zijn versleuteld.

Hoewel VanHelsing geavanceerd en snel evoluerend lijkt, heeft Check Point enkele tekortkomingen opgemerkt die wijzen op een onvolwassenheid in de code. Deze omvatten inconsistenties in de bestandsextensie, fouten in de logica van de uitsluitingslijst die dubbele versleuteling kunnen veroorzaken, en verschillende niet-geïmplementeerde commandoregelvlaggen.

Ondanks deze fouten blijft VanHelsing een zorgwekkende opkomende bedreiging die mogelijk snel aan tractie kan winnen.