Запуск VanHelsing RaaS с мультиплатформенной атакой

Марш 7, 2025 года ознаменовался появлением новой схемы RaaS – VanHelsing, в результате которой уже зафиксированы три жертвы. Новый проект предлагает услугу вымогательства посредством двойного шантажа, когда данные сначала крадут до шифрования, а затем требуют выкуп за недопущение их утечки.
Запуск VanHelsing RaaS с мультиплатформенной атакой
Изображение носит иллюстративный характер

Модель VanHelsing позволяет в атаке участвовать как опытным киберпреступникам, так и новичкам. Новым партнёрам необходимо внести депозит в размере 5 000 долларов, в то время как проверенные «аффилиаты» могут присоединяться бесплатно. При этом 80% суммы выкупа остаются у аффилиатов, а 20% получает основная группа, при условии, что атаки не проводятся против стран СНГ.

Технические возможности VanHelsing поражают широтой охвата – операционные системы Windows, Linux, BSD, Arm и ESXi подвергаются атакам. Взлом осуществляется программой, разработанной на C++: происходит удаление теневых копий, сканирование локальных и сетевых дисков, шифрование файлов с присвоением расширения.vanhelsing и изменение обоев рабочего стола. Для упрощения управления предусмотрена панель управления, корректно работающая как на десктопах, так и на мобильных устройствах с возможностью выбора тёмного режима. Программа поддерживает командные аргументы, позволяющие задавать режим шифрования, указывать области для обработки, активировать распространение на SMB-сервера или запускать «тихий» режим без переименования файлов.

Атаки нацелены преимущественно на государственные учреждения, производственные и фармацевтические компании, о чём свидетельствуют данные CYFIRMA. Среди потенциальных мишеней отмечаются организации во Франции и США.

По информации Check Point, панель управления VanHelsing интуитивно понятна, а сама программа регулярно обновляется, что уже привело к крупным вымогательствам в первые две недели после запуска, нанося серьёзный ущерб пострадавшим.

На фоне запуска VanHelsing наблюдается активное развитие других вредоносных кампаний. Сегодня Albabat расширяет функционал, атакуя не только Windows, но и Linux, а также macOS, собирая сведения о системе и оборудовании. BlackLock, переформатированная версия Eldorado, активно действует в секторах технологий, производства, строительства, финансов и розничной торговли, привлекая новых участников для атак через вредоносные веб-страницы. JavaScript-фреймворк SocGholish (также известный как FakeUpdates) используется для доставки RansomHub, и его связывают с кластером угроз Water Scylla. Эксплуатация уязвимостей в устройствах Fortinet (CVE-2024-55591 и CVE-2025-24472) от имени злоумышленника Mora_001 позволила распространить модифицированный вариант LockBit 3.0 – ransomware strain SuperBlack, использующий собственный инструмент для эксфильтрации данных. Группа Babuk2 (также известная как Babuk-Bjorka) практикует повторное использование ранее украденных данных и предъявляет фальшивые требования выкупа.

Статистика Bitdefender за февраль 2025 года фиксирует рекордное число жертв – 962 случая, по сравнению с 425 за аналогичный период 2024 года, из которых группа Cl0p RaaS обеспечила 335 атак. Кроме того, Sophos зафиксировал годовой рост атак с удалённым шифрованием на 50% в 2024 году и 141% с 2022 года. Честер Уисневский, директор и глобальный полевой CISO компании Sophos, отметил: «Удаленное шифрование теперь стало стандартным приёмом в арсенале групп вымогателей. Каждая организация имеет слабые места, и преступники быстро используют обнаруженные недостатки. Всё чаще злоумышленники ищут эти темные уголки и используют их как камуфляж. Бизнесу необходимо соблюдать максимальную бдительность, обеспечивая полную видимость своей инфраструктуры и активно мониторя подозрительную активность с файлами».


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка