Этот опасный новый вымогатель поражает системы Windows, ARM и ESXi

Исследователи Check Point обнаружили новый штамм ransomware под названием VanHelsing. Это новая угроза, в которой аффилированным лицам необходимо заплатить взнос за участие. Три организации уже стали жертвами.

Обнаружен опасный вариант вредоносного программного обеспечения, способный шифровать устройства Windows, Linux, VMware и системы ESXi, а также многое другое. Исследователи по кибербезопасности Check Point раскрыли, что вредоносное ПО называется VanHelsing, и работает по модели "Ransomware-as-a-Service" (RaaS). Операция RaaS была запущена 7 марта 2025 года, а шифратор все еще находится в разработке. На данный момент было обнаружено несколько инфицирований, и исследователям удалось проанализировать несколько вариантов, все из которых были созданы для платформы Windows. Между ними были внесены постепенные обновления, что свидетельствует о том, что VanHelsing активно и быстро разрабатывается.

Пока что, три организации стали жертвами VanHelsing, от каждой требовали 500 000 долларов в криптовалюте в обмен на дешифровочный ключ. Неизвестно, занимаются ли аффилированные лица также хищением данных, но можно предположить, что да.

Check Point также отметил, что, по-видимому, существуют разные правила для потенциальных аффилированных лиц. Тем, кто является новичком в киберпреступной среде, необходимо заплатить взнос в размере 5000 долларов, чтобы стать аффилированным лицом. Более именитым участникам этой сферы не нужно платить вовсе.

Разделение доходов выгоднее для аффилированных лиц, как было далее объяснено. Это соотношение 80 на 20, при этом 20% поступает операторам ransomware.

Что касается атрибуции, то операция, скорее всего, российская, поскольку ей не разрешено атаковать организации в России или странах Содружества Независимых Государств (бывший Советский Союз). Трудно сказать точно, но обычно они действуют из-под юрисдикции России, - отметил Антониос Терефос, инженер по обратной разработке вредоносного ПО в Check Point.

Исследователи также намекнули, что российское правительство не преследует киберпреступников, пока они атакуют только организации на Западе. Если это действительно так, и VanHelsing разрешено действовать свободно, то он может быстро стать серьезной угрозой, сравнимой с LockBit или RansomHub.

Кроме того, станет очевидным, что ransomware стал инструментом в глобальной борьбе за власть, что мы наблюдаем у Северной Кореи уже много лет.