一種名為 VanHelsing 的新型多平臺勒索軟件即服務（RaaS）操作已經出現，其攻擊目標涵蓋 Windows、Linux、BSD、ARM 和 ESXi 系統。

3 月 7 日，VanHelsing首次在地下網絡犯罪平臺上進行推廣，可使經驗較多的會員免費加入，但要求經驗較少的威脅者繳納 5000 美元的押金。

CYFIRMA 在上周晚些時候首次記錄了這一新的勒索軟件操作，Check Point Research 則進行了更深入的分析，并于昨日發表相關報告。

VanHelsing內部運作

Check Point 的分析師報告稱，VanHelsing 是一個俄羅斯的網絡犯罪項目，該項目禁止針對獨聯體（CIS）國家的系統進行攻擊。

聯盟會員能夠保留 80% 的贖金，而運營商收取 20% 的傭金。付款通過自動托管系統處理，該系統采用兩個區塊鏈確認來保障安全。

VanHelsing 廣告邀請會員加入

被接受的附屬機構可以訪問具有完整操作自動化的面板，同時還能獲得開發團隊的直接支持。

從受害者網絡竊取的文件直接存儲在 VanHelsing 行動的服務器上。核心團隊聲稱，他們會定期進行滲透測試，以確保系統具備一流的安全性和可靠性。

目前，暗網上的 VanHelsing 勒索門戶列出了三名受害者，其中兩名在美國，一名在法國。其中一個受害者是德克薩斯州的一個城市，另外兩名受害者是科技公司。

VanHelsing 勒索頁面

勒索軟件運營商威脅稱，如果他們的財務要求得不到滿足，將在未來幾天泄露被盜文件。根據 Check Point 的調查，贖金金額為 50 萬美元。

VanHelsing 的勒索信

隱身模式

VanHelsing 勒索軟件由 C++ 編寫，有證據顯示它于 3 月 16 日首次在實際環境中部署。

VanHelsing 使用 ChaCha20 算法進行文件加密，為每個文件生成一個 32 字節（256 位）的對稱密鑰和一個 12 字節的隨機數。然后，使用嵌入的 Curve25519 公鑰加密這些值，并將生成的加密密鑰 / 隨機數對存儲在加密文件中。

VanHelsing 對大于 1GB 的文件進行部分加密，但對較小的文件則運行完整的加密過程。

該惡意軟件支持豐富的 CLI 定制，以便針對每個受害者定制攻擊。例如，可以針對特定驅動器和文件夾、限制加密范圍、通過 SMB 傳播、跳過卷影副本刪除，以及啟用兩相隱身模式。

在正常加密模式下，VanHelsing 會枚舉文件和文件夾，加密文件內容，并重命名生成的文件，附加 “.vanhelsing” 擴展名。

在隱身模式下，勒索軟件將加密與文件重命名分離。由于文件 I/O 模式模仿正常系統行為，因此不太可能觸發警報。即使安全工具在重命名階段開始時做出反應，在第二遍操作時，整個目標數據集也已經被加密了。

隱形加密功能

盡管 VanHelsing 看起來很先進且發展迅速，但 Check Point 注意到了一些代碼不成熟的問題。其中包括文件擴展名不匹配、可能觸發雙重加密的排除列表邏輯錯誤，以及幾個未實現的命令行標志。盡管存在這些錯誤，VanHelsing 仍然是一個令人擔憂且不斷上升的威脅，正在逐漸受到更多關注。

參考及來源：https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/