今天小编分享的互联网经验:VanHelsing 勒索軟體剑指 Windows、ARM 及 ESXi 系统,欢迎阅读。
一种名为 VanHelsing 的新型多平台勒索軟體即服务(RaaS)操作已经出现,其攻击目标涵盖 Windows、Linux、BSD、ARM 和 ESXi 系统。
3 月 7 日,VanHelsing 首次在地下网络犯罪平台上进行推广,可使经验较多的会员免费加入,但要求经验较少的威胁者缴纳 5000 美元的押金。
CYFIRMA 在上周晚些时候首次记录了这一新的勒索軟體操作,Check Point Research 则进行了更深入的分析,并于昨日发表相关报告。
VanHelsing 内部运作
Check Point 的分析师报告称,VanHelsing 是一个俄罗斯的网络犯罪项目,该项目禁止针对独联体(CIS)国家的系统进行攻击。
联盟会员能够保留 80% 的赎金,而运营商收取 20% 的佣金。付款通过自动托管系统处理,该系统采用两个区块链确认来保障安全。
VanHelsing 广告邀请会员加入
被接受的附属机构可以访问具有完整操作自动化的面板,同时还能获得开发团队的直接支持。
从受害者网络窃取的檔案直接存储在 VanHelsing 行动的伺服器上。核心团队声称,他们会定期进行渗透测试,以确保系统具备一流的安全性和可靠性。
目前,暗网上的 VanHelsing 勒索门户列出了三名受害者,其中两名在美国,一名在法国。其中一个受害者是德克萨斯州的一个城市,另外两名受害者是科技公司。
VanHelsing 勒索页面
勒索軟體运营商威胁称,如果他们的财务要求得不到满足,将在未来几天泄露被盗檔案。根据 Check Point 的调查,赎金金额为 50 万美元。
VanHelsing 的勒索信
隐身模式
VanHelsing 勒索軟體由 C++ 编写,有证据显示它于 3 月 16 日首次在实际环境中部署。
VanHelsing 使用 ChaCha20 算法进行檔案加密,为每个檔案生成一个 32 字节(256 位)的对称密钥和一个 12 字节的随机数。然后,使用嵌入的 Curve25519 公钥加密这些值,并将生成的加密密钥 / 随机数对存储在加密檔案中。
VanHelsing 对大于 1GB 的檔案进行部分加密,但对较小的檔案则运行完整的加密过程。
该恶意軟體支持丰富的 CLI 定制,以便针对每个受害者定制攻击。例如,可以针对特定驱动器和檔案夹、限制加密范围、通过 SMB 传播、跳过卷影副本删除,以及启用两相隐身模式。
在正常加密模式下,VanHelsing 会枚举檔案和檔案夹,加密檔案内容,并重命名生成的檔案,附加 ".vanhelsing" 扩展名。
在隐身模式下,勒索軟體将加密与檔案重命名分离。由于檔案 I/O 模式模仿正常系统行为,因此不太可能触发警报。即使安全工具在重命名阶段开始时做出反应,在第二遍操作时,整个目标数据集也已经被加密了。
隐形加密功能
尽管 VanHelsing 看起来很先进且发展迅速,但 Check Point 注意到了一些代码不成熟的问题。其中包括檔案扩展名不匹配、可能触发双重加密的排除列表逻辑错误,以及几个未实现的命令行标志。尽管存在这些错误,VanHelsing 仍然是一个令人担忧且不断上升的威胁,正在逐渐受到更多关注。
