Un nuevo ransomware-as-a-service (RaaS) llamado VanHelsing ha emergido, apuntando a sistemas Windows, Linux, BSD, ARM y ESXi.
Este ransomware, promocionado por primera vez el 7 de marzo en plataformas subterráneas de ciberdelincuencia, está dirigido principalmente a actores experimentados, pero también permite que los actores menos experimentados se unan con un depósito de 5.000.
¿Qué es VanHelsing?
El ransomware VanHelsing ha sido identificado como un proyecto de ciberdelincuencia ruso, y como parte de sus reglas, prohíbe atacar sistemas en países de la Comunidad de Estados Independientes (CEI).
Según Check Point Research, los afiliados pueden quedarse con el 80% de los pagos del rescate, mientras que los operadores reciben el 20% restante.
Los pagos se manejan a través de un sistema automatizado de depósito en garantía, con dos confirmaciones en blockchain para mayor seguridad.
Modo de Operación de VanHelsing ⚙️
Los afiliados tienen acceso a un panel con automatización operativa completa, además de soporte directo por parte del equipo de desarrollo.
Los archivos robados de las víctimas se almacenan en los servidores de la operación VanHelsing. Aseguran que realizan pruebas de penetración regulares para garantizar la seguridad y fiabilidad del sistema.
Actualmente, el portal de extorsión de VanHelsing en la web oscura lista tres víctimas: dos en los EE. UU. y una en Francia. Entre las víctimas se encuentran una ciudad de Texas y dos empresas tecnológicas.
Las Amenazas de Extorsión
VanHelsing amenaza con filtrar los archivos robados en los próximos días si sus demandas financieras no se cumplen. Según la investigación de Check Point, el rescate solicitado es de $500,000.
Modo Sigiloso de VanHelsing ️♂️
VanHelsing está escrito en C++ y según las evidencias, se desplegó en el mundo real por primera vez el 16 de marzo.
Utiliza el algoritmo ChaCha20 para cifrar los archivos, generando una clave simétrica de 32 bytes (256 bits) y un nonce de 12 bytes para cada archivo. Estos valores se cifran utilizando una clave pública Curve25519 embebida.
Los archivos que superan 1 GB se cifran parcialmente, pero el proceso completo se ejecuta en archivos más pequeños.
Además, VanHelsing ofrece una personalización avanzada de línea de comandos para adaptar los ataques a cada víctima, como la opción de seleccionar discos y carpetas específicos, restringir el alcance del cifrado, propagar mediante SMB, omitir la eliminación de copias sombra y habilitar un modo de sigilo de dos fases.
El Modo de Sigilo
En el modo sigiloso, VanHelsing desacopla el cifrado de la renombración de archivos, lo que reduce la probabilidad de activar alarmas; ya que los patrones de entrada/salida de archivos imitan el comportamiento normal del sistema.
Esto significa que aunque las herramientas de seguridad puedan reaccionar al principio de la fase de renombrado, el conjunto completo de datos objetivo ya habrá sido cifrado en el segundo pase.
Vulnerabilidades y Amenazas Futuras ⚠️
A pesar de que VanHelsing parece ser un ransomware avanzado y en rápida evolución, Check Point ha notado algunos defectos que podrían revelar una inmadurez en el código.
Estos incluyen desajustes en las extensiones de archivo, errores en la lógica de listas de exclusión que podrían provocar pasadas de cifrado dobles y varios comandos no implementados.
Aunque presenta errores, VanHelsing se está perfilando como una amenaza creciente, con el potencial de ganar tracción rápidamente.
Conclusión
Este nuevo ransomware, con sus sofisticadas tácticas y enfoques personalizados, resalta la importancia de la protección adecuada contra estos ataques. ¿Estás tomando las precauciones necesarias para proteger tus sistemas?