Scroll untuk baca artikel
Networking

Ransomware baru vanhelsing menargetkan sistem Windows, ARM, ESXI

89
×

Ransomware baru vanhelsing menargetkan sistem Windows, ARM, ESXI

Share this article
ransomware-baru-vanhelsing-menargetkan-sistem-windows,-arm,-esxi
Ransomware baru vanhelsing menargetkan sistem Windows, ARM, ESXI

Ransomware baru vanhelsing menargetkan sistem Windows, ARM, ESXI

Operasi ransomware-as-a-service (RAAS) multi-platform baru bernama VanHelsing telah muncul, menargetkan sistem Windows, Linux, BSD, ARM, dan ESXI.

Example 300x600

VanHelsing pertama kali dipromosikan pada platform kejahatan dunia maya bawah tanah pada 7 Maret, menawarkan afiliasi berpengalaman, izin gratis untuk bergabung sambil mengamanatkan setoran $ 5.000 dari aktor ancaman yang kurang berpengalaman.

Operasi ransomware baru pertama kali didokumentasikan oleh Cfygma Akhir minggu lalu, sementara Periksa Penelitian Titik melakukan analisis yang lebih mendalam yang diterbitkan kemarin.

Di dalam vanhelsing

Analis Check Point melaporkan bahwa VanHelsing adalah proyek kejahatan dunia maya Rusia yang melarang sistem penargetan dalam sistem di negara -negara CIS (Commonwealth of Independent).

Afiliasi diizinkan untuk menjaga 80% dari pembayaran tebusan sementara operator mengambil pemotongan 20%. Pembayaran ditangani melalui sistem escrow otomatis yang menggunakan dua konfirmasi blockchain untuk keamanan.

Iklan Vanhelsing Mengundang Afiliasi Untuk Bergabung
Iklan Vanhelsing Mengundang Afiliasi Untuk Bergabung
Sumber: Periksa titik

Afiliasi yang diterima mendapatkan akses ke panel dengan otomatisasi operasional penuh, sementara ada juga dukungan langsung dari tim pengembangan.

File yang dicuri dari jaringan para korban disimpan langsung di server Operasi VanHelsing, sementara tim inti mengklaim bahwa mereka melakukan tes penetrasi reguler untuk memastikan keamanan dan keandalan sistem terkemuka.

Saat ini, Portal Pemerasan VanHelsing di Dark Web mencantumkan tiga korban, dua di AS dan satu di Prancis. Salah satu korban adalah kota di Texas, sedangkan dua lainnya adalah perusahaan teknologi.

Halaman Pemerasan Vanhelsing
Halaman Pemerasan Vanhelsing
Sumber: BleepingComputer

Operator ransomware mengancam untuk membocorkan file yang dicuri dalam beberapa hari mendatang jika tuntutan keuangan mereka tidak terpenuhi. Menurut investigasi Check Point, itu adalah pembayaran tebusan $ 500.000.

Catatan tebusan vanhelsing
Catatan tebusan vanhelsing
Sumber: Periksa titik

Mode Stealth

Ransomware vanhelsing ditulis dalam C ++, dan bukti menunjukkan bahwa itu dikerahkan di alam liar untuk pertama kalinya pada 16 Maret.

VanHelsing menggunakan algoritma Chacha20 untuk enkripsi file, menghasilkan kunci simetris 32-byte (256-bit) dan nonce 12-byte untuk setiap file.

Nilai -nilai ini kemudian dienkripsi menggunakan kunci publik Curve25519 tertanam, dan pasangan kunci/nonce terenkripsi yang dihasilkan disimpan dalam file terenkripsi.

VanHelsing mengenkripsi file sebagian lebih besar dari ukuran 1GB, tetapi menjalankan proses penuh pada file yang lebih kecil.

Malware mendukung kustomisasi CLI yang kaya untuk menyesuaikan serangan per korban, seperti menargetkan drive dan folder spesifik, membatasi ruang lingkup enkripsi, menyebar melalui SMB, melewatkan penghapusan salinan bayangan, dan memungkinkan mode siluman dua fase.

Dalam mode enkripsi normal, vanHelsing menyebutkan file dan folder, mengenkripsi konten file, dan mengganti nama file yang dihasilkan menambahkan ekstensi ‘.VanHelsing’.

Dalam mode siluman, ransomware memisahkan enkripsi dari penggantian nama file, yang cenderung memicu alarm karena pola file I/O meniru perilaku sistem normal.

Fungsi mode enkripsi siluman
Fungsi enkripsi siluman
Sumber: Periksa titik

Bahkan jika alat keamanan bereaksi pada awal fase penggantian nama, pada pass kedua, seluruh dataset yang ditargetkan akan telah dienkripsi.

Sementara vanhelsing tampak canggih dan berkembang dengan cepat, Titik Periksa memperhatikan beberapa kekurangan yang mengungkapkan ketidakdewasaan kode.

Ini termasuk ketidakcocokan dalam ekstensi file, kesalahan dalam logika daftar eksklusi yang dapat memicu lintasan enkripsi ganda, dan beberapa bendera baris perintah yang tidak diimplementasikan.

Meskipun ada kesalahan, vanhelsing tetap menjadi ancaman meningkat yang muncul yang bisa segera mulai mendapatkan traksi.