今天小編分享的互聯網經驗:VanHelsing 勒索軟體劍指 Windows、ARM 及 ESXi 系統,歡迎閲讀。
一種名為 VanHelsing 的新型多平台勒索軟體即服務(RaaS)操作已經出現,其攻擊目标涵蓋 Windows、Linux、BSD、ARM 和 ESXi 系統。
3 月 7 日,VanHelsing 首次在地下網絡犯罪平台上進行推廣,可使經驗較多的會員免費加入,但要求經驗較少的威脅者繳納 5000 美元的押金。
CYFIRMA 在上周晚些時候首次記錄了這一新的勒索軟體操作,Check Point Research 則進行了更深入的分析,并于昨日發表相關報告。
VanHelsing 内部運作
Check Point 的分析師報告稱,VanHelsing 是一個俄羅斯的網絡犯罪項目,該項目禁止針對獨聯體(CIS)國家的系統進行攻擊。
聯盟會員能夠保留 80% 的贖金,而運營商收取 20% 的傭金。付款通過自動托管系統處理,該系統采用兩個區塊鏈确認來保障安全。
VanHelsing 廣告邀請會員加入
被接受的附屬機構可以訪問具有完整操作自動化的面板,同時還能獲得開發團隊的直接支持。
從受害者網絡竊取的檔案直接存儲在 VanHelsing 行動的伺服器上。核心團隊聲稱,他們會定期進行滲透測試,以确保系統具備一流的安全性和可靠性。
目前,暗網上的 VanHelsing 勒索門户列出了三名受害者,其中兩名在美國,一名在法國。其中一個受害者是德克薩斯州的一個城市,另外兩名受害者是科技公司。
VanHelsing 勒索頁面
勒索軟體運營商威脅稱,如果他們的财務要求得不到滿足,将在未來幾天泄露被盜檔案。根據 Check Point 的調查,贖金金額為 50 萬美元。
VanHelsing 的勒索信
隐身模式
VanHelsing 勒索軟體由 C++ 編寫,有證據顯示它于 3 月 16 日首次在實際環境中部署。
VanHelsing 使用 ChaCha20 算法進行檔案加密,為每個檔案生成一個 32 字節(256 位)的對稱密鑰和一個 12 字節的随機數。然後,使用嵌入的 Curve25519 公鑰加密這些值,并将生成的加密密鑰 / 随機數對存儲在加密檔案中。
VanHelsing 對大于 1GB 的檔案進行部分加密,但對較小的檔案則運行完整的加密過程。
該惡意軟體支持豐富的 CLI 定制,以便針對每個受害者定制攻擊。例如,可以針對特定驅動器和檔案夾、限制加密範圍、通過 SMB 傳播、跳過卷影副本删除,以及啓用兩相隐身模式。
在正常加密模式下,VanHelsing 會枚舉檔案和檔案夾,加密檔案内容,并重命名生成的檔案,附加 ".vanhelsing" 擴展名。
在隐身模式下,勒索軟體将加密與檔案重命名分離。由于檔案 I/O 模式模仿正常系統行為,因此不太可能觸發警報。即使安全工具在重命名階段開始時做出反應,在第二遍操作時,整個目标數據集也已經被加密了。
隐形加密功能
盡管 VanHelsing 看起來很先進且發展迅速,但 Check Point 注意到了一些代碼不成熟的問題。其中包括檔案擴展名不匹配、可能觸發雙重加密的排除列表邏輯錯誤,以及幾個未實現的命令行标志。盡管存在這些錯誤,VanHelsing 仍然是一個令人擔憂且不斷上升的威脅,正在逐漸受到更多關注。
