یک عملیات باجافزار چند پلتفرمی جدید به عنوان سرویس (RaaS) به نام VanHelsing مشاهده شده است که سیستمهای Windows، Linux، BSD، ARM و ESXi را هدف قرار میدهد.
VanHelsing که به زبان ++C نوشته شده از ماه مارس در پلتفرمهای زیر زمینی جرایم سایبری تبلیغ شد. به گزارش تحلیلگران Check Point، این عملیات یک پروژه جرایم سایبری روسی است که از الگوریتم ChaCha20 برای رمزگذاری فایل استفاده و یک کلید متقارن 32 بایتی (256 بیتی) و یک nonce 12 بایتی برای هر فایل ایجاد میکند. سپس این مقادیر با استفاده از کلید عمومی Curve25519 رمزگذاری شده و جفت کلید رمزگذاری شده/nonce در فایل رمزگذاری شده ذخیره میشود. این بدافزار از سفارشیسازی غنی CLI برای تطبیق حملات به هر قربانی مانند هدف قرار دادن درایوها و پوشههای خاص، محدود کردن دامنه رمزگذاری، انتشار از طریق SMB، حذف کپیهای سایه و فعالسازی حالت مخفی دو فازی پشتیبانی میکند.
در حالت رمزگذاری عادی، VanHelsing فایلها و پوشهها را شمارش میکند، محتویات فایل را رمزگذاری میکند و نام فایل بهدستآمده را با افزودن پسوند «vanhelsing.» تغییر میدهد. در حالت مخفی، باجافزار رمزگذاری را از تغییر نام فایل جدا میکند، که کمتر احتمال دارد هشدار ایجاد کند زیرا الگوهای ورودی/خروجی فایلها رفتار عادی سیستم را تقلید میکنند. حتی اگر ابزارهای امنیتی در شروع مرحلهی تغییر نام واکنش نشان دهند، در گذر دوم، کل مجموعه داده هدف قبلاً رمزگذاری شده است. این عملیات نقصهایی همچون عدم تطابق در پسوند فایل، خطاهایی در منطق فهرست حذف که ممکن است باعث عبور رمزگذاری مضاعف شود و چندین پرچم خط فرمان اجرا نشده نیز داشته است.
https://research.checkpoint.com/2025/vanhelsing-new-raas-in-town/
https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/
