Jauna un bīstama izspiedējprogrammatūra VanHelsing uzbrūk Rietumos bāzētām organizācijām, piemēram, Windows, ARM un ESXi.
Ir pamanīts jauns bīstams izspiedējvīrusa variants, kas spēj šifrēt Windows ierīces, Linux, VMware, ESXi sistēmas un citas. Kiberdrošības pētnieki Check Point atklāja, ka ļaunprogrammatūras nosaukums ir VanHelsing, un tā darbojas pēc pakalpojuma modeļa (Ransomware-as-a-Service).
RaaS darbība sākās 2025. gada 7. martā, un šifrētājs joprojām tiek izstrādāts. Līdz šim tika pamanītas vairākas inficēšanās, un pētniekiem izdevās analizēt vairākus variantus, kas visi bija Windows platformā. Starp tiem esot bijuši pakāpeniski atjauninājumi, kas pierāda, ka VanHelsing tiek aktīvi – un ātri – attīstīts.
VanHelsing saistība ar Krieviju
Līdz šim par VanHelsing upuriem bija kļuvušas trīs organizācijas, no kurām katrai apmaiņā pret atšifrēšanas atslēgu tika pieprasīts 463 437 EUR kriptovalūtā. Mēs nezinām, vai saistītie uzņēmumi nodarbojas arī ar datu eksfiltrāciju, taču var droši pieņemt, ka tā notiek.
Check Point arī norādīja, ka, šķiet, ir atšķirīgi noteikumi attiecībā uz gribētājiem kļūt par partneriem. Tiem, kas ir kibernoziedznieku jaunpienācēji, ir jāsamaksā 4634 EUR maksa, lai tie tiktu iekļauti kā partneri. Vairāk pazīstamiem vārdiem šajā jomā nav jāmaksā vispār.
Tālāk tika paskaidrots, ka ieņēmumu sadale ir izdevīga partneriem. Tas ir sadalījums 80-20 apmērā, no kuriem 20 % nonāk izspiedējvīrusa programmatūras operatoriem.
Runājot par atribūciju, visticamāk, ka operācija ir bāzēta Krievija. To iespējams secināt tāpēc, ka nav atļauts vērsties pret organizācijām Krievijā vai Neatkarīgo Valstu Savienībā (būtībā bijušajā Padomju Savienībā).
“To ir grūti pateikt, bet parasti tie darbojas Krievijas teritorijā,” norāda Antonis Terefos, Check Point ļaunprogrammatūras reverso inženieru speciālists. Pētnieki arī norādīja, ka Krievijas valdība nevēršas pret kibernoziedzniekiem, ja vien tie uzbrūk organizācijām Rietumos.
Ja tas tiešām tā ir un VanHelsing ir ļauts brīvi darboties, tas var ātri kļūt par ievērojamu draudu, kas konkurē ar tādām programmatūrām kā LockBit vai RansomHub. Turklāt kļūs acīmredzams, ka izpirkuma maksa ir kļuvusi par instrumentu globālās cīņās par varu, ko mēs jau gadiem ilgi esam novērojuši Ziemeļkorejā.
Avots: TechRadar
