Une nouvelle opération de ransomware en tant que service (RaaS) multiplateforme nommée Van Helsing est apparue, ciblant les systèmes Windows, Linux, BSD, ARM et ESXi.
Van Helsing a été promu pour la première fois sur des plateformes clandestines de cybercriminalité le 7 mars, offrant aux affiliés expérimentés un laissez-passer gratuit pour rejoindre tout en exigeant un dépôt de 5 000 $d’acteurs de la menace moins expérimentés.
La nouvelle opération de ransomware a été documentée pour la première fois par CYFIRMA à la fin de la semaine dernière, tandis que CheckPoint Research a effectué une analyse plus approfondie publiée hier.
À l’intérieur de Van Helsing
Les analystes de Check Point rapportent que VanHelsing est un projet de cybercriminalité russe qui interdit les systèmes de ciblage dans les systèmes des pays de la CEI (Communauté des États indépendants).
Les affiliés sont autorisés à conserver 80% des paiements de rançon tandis que les opérateurs prennent une réduction de 20%. Les paiements sont traités via un système d’entiercement automatisé qui utilise deux confirmations blockchain pour la sécurité.
Les affiliés acceptés ont accès à un panel avec une automatisaftion opérationnelle complète, tandis qu’il y a également un support direct de l’équipe de développement.
Les fichiers volés sur les réseaux des victimes sont stockés directement sur les serveurs de l’opération VanHelsing, tandis que l’équipe principale affirme qu’elle effectue régulièrement des tests de pénétration pour garantir une sécurité et une fiabilité du système de premier ordre.
Actuellement, le portail d’extorsion Van Helsing sur le dark Web répertorie trois victimes, deux aux États-Unis et une en France. L’une des victimes est une ville du Texas, tandis que les deux autres sont des entreprises technologiques.
Les opérateurs de ransomware menacent de divulguer les fichiers volés dans les prochains jours si leurs demandes financières ne sont pas satisfaites. Selon l’enquête de Check Point, il s’agit d’un paiement de rançon de 500 000$.
Mode furtif
Le ransomware VanHelsing est écrit en C++, et des preuves suggèrent qu’il a été déployé dans la nature pour la première fois le 16 mars.
VanHelsing utilise l’algorithme ChaCha20 pour le cryptage des fichiers, générant une clé symétrique de 32 octets (256 bits) et un nonce de 12 octets pour chaque fichier.
Ces valeurs sont ensuite cryptées à l’aide d’une clé publique Curve25519 intégrée, et la paire clé cryptée/nonce résultante est stockée dans le fichier crypté.
VanHelsing crypte partiellement les fichiers de plus de 1 Go, mais exécute le processus complet sur des fichiers plus petits.
Le malware prend en charge une personnalisation CLI riche pour adapter les attaques par victime, telles que le ciblage de lecteurs et de dossiers spécifiques, la restriction de la portée du cryptage, la propagation via SMB, l’omission de la suppression des clichés instantanés et l’activation du mode furtif à deux phases.
En mode de cryptage normal, VanHelsing énumère les fichiers et les dossiers,crypte le contenu du fichier et renomme le fichier résultant en ajoutant le‘.extension de vanhelsing.
En mode furtif, le ransomware dissocie le chiffrement du renommage des fichiers, ce qui est moins susceptible de déclencher des alarmes car les modèles d’E/S des fichiers imitent le comportement normal du système.
Même si les outils de sécurité réagissent au début de la phase de changement de nom, au deuxième passage, l’ensemble des données ciblées aura déjà été chiffré.
Alors que Van Helsing semble avancé et évolue rapidement, CheckPoint a remarqué quelques défauts qui révèlent l’immaturité du code.
Ceux-ci incluent des incompatibilités dans l’extension de fichier, des erreurs dans la logique de la liste d’exclusion qui peuvent déclencher des doubles passes de cryptage et plusieurs indicateurs de ligne de commande non implémentés.
Malgré la présence d’erreurs, Van Helsing reste une menace croissante inquiétante qui semble pouvoir commencer à gagner du terrain bientôt.