พบการโจมตีของ ransomware-as-a-service (RaaS) ตัวใหม่ที่ชื่อ VanHelsing โดยกำหนดเป้าหมายไปที่ระบบ Windows, Linux, BSD, ARM และ ESXi
โดย VanHelsing ได้รับการโปรโมตบนแพลตฟอร์มใต้ดินของอาชญากรรมไซเบอร์เป็นครั้งแรกเมื่อวันที่ 7 มีนาคม 2025 โดยเปิดให้ผู้โจมตีที่มีประสบการณ์เข้าร่วมฟรี ในขณะที่ผู้โจมตีที่มีประสบการณ์น้อยกว่าต้องวางเงินมัดจำ 5,000 ดอลลาร์
การทำงานของแรนซัมแวร์ตัวใหม่นี้ถูกรายงานครั้งแรกโดย CYFIRMA เมื่อสัปดาห์ที่แล้ว ในขณะที่ Check Point Research ได้เผยแพร่การวิเคราะห์เชิงลึกเพิ่มเติมเมื่อวันที่ 23 มีนาคม 2025
ภายในแรนซัมแวร์ VanHelsing
นักวิเคราะห์จาก Check Point รายงานว่า VanHelsing เป็นโครงการอาชญากรรมไซเบอร์จากรัสเซียที่ห้ามไม่ให้โจมตีระบบภายในประเทศ CIS (Commonwealth of Independent States)
โดยในส่วนของกลุ่มพันธมิตรที่นำ ransomware-as-a-service (RaaS) ไปใช้ จะได้รับอนุญาตให้เก็บเงินค่าไถ่ได้ 80% ในขณะที่ผู้ดำเนินการจะได้รับส่วนแบ่ง 20% และการชำระเงินจะถูกจัดการผ่าน escrow system ในรูปแบบอัตโนมัติที่ใช้ two blockchain confirmations เพื่อความปลอดภัย
กลุ่มพันธมิตรที่ได้รับการยอมรับจะได้รับสิทธิ์ในการเข้าถึง panel ที่มีการทำงานในรูปแบบอัตโนมัติ และยังได้รับการสนับสนุนโดยตรงจากทีมพัฒนา
ไฟล์ที่ถูกขโมยจากเครือข่ายของเหยื่อจะถูกจัดเก็บไว้บน VanHelsing operation servers ซึ่งทีมพัฒนาหลักอ้างว่าพวกเขาทำการทดสอบการเจาะระบบเป็นประจำเพื่อให้แน่ใจถึงความปลอดภัยระดับสูง และความน่าเชื่อถือของระบบ
ปัจจุบัน extortion portal ของ VanHelsing บน Dark Web ซึ่งระบุว่ามีเป้าหมาย 3 ราย โดยสองรายอยู่ในสหรัฐอเมริกา และอีกหนึ่งรายในฝรั่งเศส โดยหนึ่งในเป้าหมายคือ เมืองในรัฐเท็กซัส ส่วนอีกสองรายคือ บริษัทเทคโนโลยี
ตัวอย่างข้อมูลที่กลุ่มแรนซัมแวร์ขู่จะปล่อยไฟล์ที่ขโมยมาในไม่กี่วันข้างหน้าหากไม่เป็นไปตามข้อเรียกร้องในการเรียกค่าไถ่ ซึ่งจากการตรวจสอบของ Check Point การเรียกค่าไถ่อยู่ที่ 500,000 ดอลลาร์
Stealth mode
แรนซัมแวร์ VanHelsing เขียนด้วยภาษา C++ และมีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีครั้งแรกเมื่อ 16 มีนาคม 2025
VanHelsing ใช้อัลกอริธึม ChaCha20 สำหรับการเข้ารหัสไฟล์ โดยสร้าง 32-byte (256-bit) symmetric key และ 12-byte nonce สำหรับแต่ละไฟล์
จากนั้นค่านี้จะถูกเข้ารหัสด้วย Curve25519 public key ที่ฝังไว้ และในส่วนของคู่ encrypted key/nonce จะถูกเก็บไว้ในไฟล์ที่ถูกเข้ารหัส
VanHelsing เข้ารหัสไฟล์ที่มีขนาดใหญ่กว่า 1GB เพียงบางส่วน แต่จะดำเนินการเข้ารหัสทั้งหมดในไฟล์ที่มีขนาดเล็กกว่า
มัลแวร์นี้รองรับการปรับแต่ง CLI ที่หลากหลายเพื่อปรับแต่งการโจมตีให้สอดคล้องกับแต่ละเป้าหมาย เช่น การโจมตีไดรฟ์ และโฟลเดอร์เฉพาะ, การจำกัดขอบเขตของการเข้ารหัส, การแพร่กระจายผ่าน SMB, การ skipping การลบ Shadow Copies และการเปิดใช้งาน two-phase stealth mode
ในโหมดการเข้ารหัสแบบปกติ VanHelsing จะทำการตรวจสอบไฟล์ และโฟลเดอร์ รวมถึงทำการเข้ารหัสเนื้อหาของไฟล์ และทำการเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยการเพิ่มนามสกุล ".vanhelsing"
โดย Stealth mode แรนซัมแวร์จะแยกการเข้ารหัสออกจากการเปลี่ยนชื่อไฟล์ ซึ่งมีแนวโน้มที่จะทำให้เกิดการแจ้งเตือนน้อยลง เนื่องจากรูปแบบ I/O ของไฟล์เลียนแบบพฤติกรรมปกติของระบบ
แม้ว่า security tools จะตอบสนองในช่วงเริ่มต้นของขั้นตอนการเปลี่ยนชื่อ แต่ในครั้งถัดไป ชุดข้อมูลที่ถูกโจมตีทั้งหมดจะถูกเข้ารหัสไปแล้ว
แม้ว่า VanHelsing จะดูเหมือนเป็นแรนซัมแวร์ที่มีความซับซ้อน และพัฒนาอย่างรวดเร็ว แต่ Check Point ก็สังเกตเห็นช่องโหว่บางอย่างที่แสดงให้เห็นถึงความไม่สมบูรณ์ของโค้ด
ช่องโหว่อาทิ เช่น ข้อมูลไม่ตรงกันของนามสกุลไฟล์, ช่องโหว่ใน logic ของรายการที่มีการยกเว้น ซึ่งอาจทำให้เกิดการเข้ารหัสซ้ำ และบางคำสั่งที่ยังไม่ได้ implement
แม้ว่าจะมีช่องโหว่เหล่านี้เกิดขึ้น แต่ VanHelsing ยังคงเป็นภัยคุกคามที่น่ากังวล และดูเหมือนว่าจะเริ่มได้รับความสนใจในเร็ว ๆ นี้
ที่มา : bleepingcomputer.