Uma nova operação de ransomware-as-a-service (RaaS) multiplataforma chamada VanHelsing surgiu, visando sistemas Windows, Linux, BSD, ARM e ESXi.
VanHelsing foi promovida pela primeira vez em plataformas de cibercrime subterrâneas no dia 7 de março, oferecendo a afiliados experientes um passe livre para se juntarem ao grupo, enquanto exige um depósito de $5.000 de atores de ameaças menos experientes.
A nova operação de ransomware foi documentada inicialmente pela CYFIRMA na semana passada, enquanto a Check Point Research realizou uma análise mais profunda publicada ontem.
Analistas da Check Point relatam que VanHelsing é um projeto de cibercrime russo que proíbe o ataque a sistemas em países da CIS (Commonwealth of Independent States).
Afiliados têm permissão para manter 80% dos pagamentos de resgate, enquanto os operadores recebem uma fatia de 20%.
Os pagamentos são geridos por um sistema de custódia automatizado que emprega duas confirmações blockchain para segurança.
Afiliados aceitos ganham acesso a um painel com automação operacional completa, e há também suporte direto da equipe de desenvolvimento.
Arquivos roubados das redes das vítimas são armazenados diretamente nos servidores da operação VanHelsing, enquanto a equipe central afirma que realiza testes de penetração regulares para garantir segurança de alto nível e confiabilidade do sistema.
Atualmente, o portal de extorsão VanHelsing na dark web lista três vítimas, duas nos EUA e uma na França.
Uma das vítimas é uma cidade no Texas, enquanto as outras duas são empresas de tecnologia.
Os operadores do ransomware ameaçam vazar os arquivos roubados nos próximos dias, caso suas exigências financeiras não sejam atendidas.
Segundo a investigação da Check Point, isso representa um pagamento de resgate de $500.000.
O ransomware VanHelsing é escrito em C++, e evidências sugerem que foi implantado pela primeira vez em ambiente real no dia 16 de março.
VanHelsing utiliza o algoritmo ChaCha20 para criptografia de arquivos, gerando uma chave simétrica de 32 bytes (256 bits) e um nonce de 12 bytes para cada arquivo.
Esses valores são então criptografados usando uma chave pública embutida Curve25519, e o par chave/nonce criptografado resultante é armazenado no arquivo criptografado.
VanHelsing criptografa parcialmente arquivos maiores que 1GB, mas executa o processo completo em arquivos menores.
O malware suporta uma rica personalização de linha de comando (CLI) para adaptar ataques por vítima, como visar drives e pastas específicos, restringir o escopo da criptografia, espalhar-se via SMB, pular a exclusão de cópias de sombra e habilitar um modo furtivo em duas fases.
No modo de criptografia normal, VanHelsing enumera arquivos e pastas, criptografa o conteúdo do arquivo e renomeia o arquivo resultante anexando a extensão ‘.vanhelsing’.
No modo furtivo, o ransomware desacopla a criptografia da renomeação do arquivo, o que é menos provável de acionar alarmes porque os padrões de I/O de arquivo imitam o comportamento normal do sistema.
Mesmo se as ferramentas de segurança reagirem no início da fase de renomeação, na segunda passagem, todo o conjunto de dados visado já terá sido criptografado.
Embora VanHelsing pareça avançado e em rápida evolução, a Check Point notou alguns defeitos que revelam imaturidade do código.
Isso inclui discrepâncias na extensão do arquivo, erros na lógica da lista de exclusões que podem disparar passagens de criptografia dupla, e várias flags de linha de comando não implementadas.
Apesar da presença de erros, VanHelsing permanece uma ameaça emergente preocupante que parece que poderá começar a ganhar tração em breve.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...