A kiberbiztonság területén a zsarolóvírusok (ransomware) évek óta komoly kihívást jelentenek. Az utóbbi időben azonban egy új jelenség, a Ransomware-as-a-Service (RaaS) modell jelentősen felgyorsította ezek terjedését.
2025. március 7-én mutatkozott be a VanHelsing Ransomware-as-a-Service (RaaS), amely már az indulását követő első két hétben három áldozatot szedett, és akár 500 000 dolláros váltságdíjakat követelt.
A ransomware-as-a-service modell lehetővé teszi, hogy akár kevés technikai háttérrel rendelkező bűnözők is részt vegyenek zsarolóvírus-kampányokban. A fejlesztők által üzemeltetett infrastruktúra és eszközök biztosítása révén a támadók könnyedén hozzáférhetnek olyan kifinomult zsarolóprogramokhoz, amelyekkel jelentős károkat okozhatnak.
A VanHelsing esetében a RaaS modell kétféle belépési lehetőséget kínál: tapasztalt és megbízható partnerek számára ingyenes hozzáférést biztosítanak, míg az új csatlakozóknak 5000 dolláros letétet kell fizetniük. A váltságdíjak megosztása is egyértelműen szabályozott; a partnerek a váltságdíjak 80%-át tarthatják meg, míg a fennmaradó 20% a platform üzemeltetőihez kerül.
Egy fontos működési szabály is érvényben van: mint sok más orosz eredetű RaaS platform esetében is, szigorúan tiltja a Független Államok Közössége (FÁK) országaiban lévő rendszerek elleni támadásokat.
A VanHelsing RaaS technikai szempontból kiemelkedő. A C++ nyelven írt zsarolóprogram egyaránt képes támadni Windows, Linux, macOS, hálózati tárolóegységek (NAS), valamint virtualizációs környezetek rendszereit. Ez a többplatformos támogatás különösen fenyegető, mivel a támadók széles körben célozhatják a különféle IT-infrastruktúrákat.
A VanHelsing a dupla zsarolás modelljét alkalmazza. Az áldozat adatait először ellopják, majd titkosítják. A támadók nemcsak a visszafejtési kulcsért követelnek pénzt, hanem azzal is fenyegetnek hogy az adatokat kiszivárogtatják, ha a váltságdíjat nem fizetik ki.
További funkciók:
- Vezérlőpult: A támadók számára elérhető vezérlőpult asztali és mobil eszközökről egyaránt kezelhető, és még sötét módot is tartalmaz, amely esztétikai szempontokat szolgál.
- Parancssoros vezérlés: A ransomware működése részletesen konfigurálható parancssori argumentumokkal, például az érintett területek meghatározásával, a titkosítási mód kiválasztásával, vagy a „Silent” mód aktiválásával, amely elkerüli a fájlok átnevezését.
- Hálózati terjedés: Az SMB-protokollon keresztüli automatikus terjedés jelentősen növeli a fertőzések sebességét és hatókörét.
A titkosított fájlokat „.vanhelsing” kiterjesztéssel látja el, miközben az áldozat rendszereinek háttérképét lecseréli egy váltságdíjat követelő üzenetre.
A CYFIRMA szerint a Franciaországban és az Egyesült Államokban található kormányzati, gyártó és gyógyszeripari vállalatok váltak a kialakulóban lévő zsarolóprogram célpontjaivá. A Check Point jelentése alapján a VanHelsing RaaS fejlesztői folyamatosan frissítik a platformot, hogy lépést tartsanak a kiberbiztonsági védekezési stratégiákkal. Ez a folyamatos innováció különösen aggasztó, mivel a RaaS egyre vonzóbbá válik a támadók számára.
