Марш 7, 2025 года ознаменовался появлением новой схемы RaaS – VanHelsing, в результате которой уже зафиксированы три жертвы. Новый проект предлагает услугу вымогательства посредством двойного шантажа, когда данные сначала крадут до шифрования, а затем требуют выкуп за недопущение их утечки.

Модель VanHelsing позволяет в атаке участвовать как опытным киберпреступникам, так и новичкам. Новым партнёрам необходимо внести депозит в размере 5 000 долларов, в то время как проверенные «аффилиаты» могут присоединяться бесплатно. При этом 80% суммы выкупа остаются у аффилиатов, а 20% получает основная группа, при условии, что атаки не проводятся против стран СНГ.
Технические возможности VanHelsing поражают широтой охвата – операционные системы Windows, Linux, BSD, Arm и ESXi подвергаются атакам. Взлом осуществляется программой, разработанной на C++: происходит удаление теневых копий, сканирование локальных и сетевых дисков, шифрование файлов с присвоением расширения.vanhelsing и изменение обоев рабочего стола. Для упрощения управления предусмотрена панель управления, корректно работающая как на десктопах, так и на мобильных устройствах с возможностью выбора тёмного режима. Программа поддерживает командные аргументы, позволяющие задавать режим шифрования, указывать области для обработки, активировать распространение на SMB-сервера или запускать «тихий» режим без переименования файлов.
Атаки нацелены преимущественно на государственные учреждения, производственные и фармацевтические компании, о чём свидетельствуют данные CYFIRMA. Среди потенциальных мишеней отмечаются организации во Франции и США.
По информации Check Point, панель управления VanHelsing интуитивно понятна, а сама программа регулярно обновляется, что уже привело к крупным вымогательствам в первые две недели после запуска, нанося серьёзный ущерб пострадавшим.
На фоне запуска VanHelsing наблюдается активное развитие других вредоносных кампаний. Сегодня Albabat расширяет функционал, атакуя не только Windows, но и Linux, а также macOS, собирая сведения о системе и оборудовании. BlackLock, переформатированная версия Eldorado, активно действует в секторах технологий, производства, строительства, финансов и розничной торговли, привлекая новых участников для атак через вредоносные веб-страницы. JavaScript-фреймворк SocGholish (также известный как FakeUpdates) используется для доставки RansomHub, и его связывают с кластером угроз Water Scylla. Эксплуатация уязвимостей в устройствах Fortinet (CVE-2024-55591 и CVE-2025-24472) от имени злоумышленника Mora_001 позволила распространить модифицированный вариант LockBit 3.0 – ransomware strain SuperBlack, использующий собственный инструмент для эксфильтрации данных. Группа Babuk2 (также известная как Babuk-Bjorka) практикует повторное использование ранее украденных данных и предъявляет фальшивые требования выкупа.
Статистика Bitdefender за февраль 2025 года фиксирует рекордное число жертв – 962 случая, по сравнению с 425 за аналогичный период 2024 года, из которых группа Cl0p RaaS обеспечила 335 атак. Кроме того, Sophos зафиксировал годовой рост атак с удалённым шифрованием на 50% в 2024 году и 141% с 2022 года. Честер Уисневский, директор и глобальный полевой CISO компании Sophos, отметил: «Удаленное шифрование теперь стало стандартным приёмом в арсенале групп вымогателей. Каждая организация имеет слабые места, и преступники быстро используют обнаруженные недостатки. Всё чаще злоумышленники ищут эти темные уголки и используют их как камуфляж. Бизнесу необходимо соблюдать максимальную бдительность, обеспечивая полную видимость своей инфраструктуры и активно мониторя подозрительную активность с файлами».

Изображение носит иллюстративный характер
Модель VanHelsing позволяет в атаке участвовать как опытным киберпреступникам, так и новичкам. Новым партнёрам необходимо внести депозит в размере 5 000 долларов, в то время как проверенные «аффилиаты» могут присоединяться бесплатно. При этом 80% суммы выкупа остаются у аффилиатов, а 20% получает основная группа, при условии, что атаки не проводятся против стран СНГ.
Технические возможности VanHelsing поражают широтой охвата – операционные системы Windows, Linux, BSD, Arm и ESXi подвергаются атакам. Взлом осуществляется программой, разработанной на C++: происходит удаление теневых копий, сканирование локальных и сетевых дисков, шифрование файлов с присвоением расширения.vanhelsing и изменение обоев рабочего стола. Для упрощения управления предусмотрена панель управления, корректно работающая как на десктопах, так и на мобильных устройствах с возможностью выбора тёмного режима. Программа поддерживает командные аргументы, позволяющие задавать режим шифрования, указывать области для обработки, активировать распространение на SMB-сервера или запускать «тихий» режим без переименования файлов.
Атаки нацелены преимущественно на государственные учреждения, производственные и фармацевтические компании, о чём свидетельствуют данные CYFIRMA. Среди потенциальных мишеней отмечаются организации во Франции и США.
По информации Check Point, панель управления VanHelsing интуитивно понятна, а сама программа регулярно обновляется, что уже привело к крупным вымогательствам в первые две недели после запуска, нанося серьёзный ущерб пострадавшим.
На фоне запуска VanHelsing наблюдается активное развитие других вредоносных кампаний. Сегодня Albabat расширяет функционал, атакуя не только Windows, но и Linux, а также macOS, собирая сведения о системе и оборудовании. BlackLock, переформатированная версия Eldorado, активно действует в секторах технологий, производства, строительства, финансов и розничной торговли, привлекая новых участников для атак через вредоносные веб-страницы. JavaScript-фреймворк SocGholish (также известный как FakeUpdates) используется для доставки RansomHub, и его связывают с кластером угроз Water Scylla. Эксплуатация уязвимостей в устройствах Fortinet (CVE-2024-55591 и CVE-2025-24472) от имени злоумышленника Mora_001 позволила распространить модифицированный вариант LockBit 3.0 – ransomware strain SuperBlack, использующий собственный инструмент для эксфильтрации данных. Группа Babuk2 (также известная как Babuk-Bjorka) практикует повторное использование ранее украденных данных и предъявляет фальшивые требования выкупа.
Статистика Bitdefender за февраль 2025 года фиксирует рекордное число жертв – 962 случая, по сравнению с 425 за аналогичный период 2024 года, из которых группа Cl0p RaaS обеспечила 335 атак. Кроме того, Sophos зафиксировал годовой рост атак с удалённым шифрованием на 50% в 2024 году и 141% с 2022 года. Честер Уисневский, директор и глобальный полевой CISO компании Sophos, отметил: «Удаленное шифрование теперь стало стандартным приёмом в арсенале групп вымогателей. Каждая организация имеет слабые места, и преступники быстро используют обнаруженные недостатки. Всё чаще злоумышленники ищут эти темные уголки и используют их как камуфляж. Бизнесу необходимо соблюдать максимальную бдительность, обеспечивая полную видимость своей инфраструктуры и активно мониторя подозрительную активность с файлами».