Uma nova operação multiplataforma de ransomware como serviço (RaaS), denominada VanHelsing, emergiu, tendo como alvo sistemas Windows, Linux, BSD, ARM e ESXi.
O VanHelsing foi inicialmente promovido em plataformas clandestinas de crimes cibernéticos em 7 de março, oferecendo aos afiliados experientes um passe livre para participar, enquanto exigia um depósito de US$ 5.000 (R$ 25.000,00) de agentes de ameaças menos experientes.
A nova operação de ransomware foi documentada pela primeira vez pela Cyfirma no final da semana passada, enquanto a Check Point Research conduziu uma análise mais aprofundada, publicada recentemente.
Dentro do VanHelsing
Analistas da Check Point relatam que o VanHelsing é um projeto russo de crimes cibernéticos que proíbe o direcionamento de sistemas em países da CEI (Comunidade de Estados Independentes).
Os afiliados podem reter 80% dos pagamentos de resgate, enquanto os operadores ficam com 20%. Os pagamentos são gerenciados por meio de um sistema de custódia automatizado que utiliza duas confirmações de blockchain para segurança.
Os afiliados aceitos ganham acesso a um painel com automação operacional completa, além de suporte direto da equipe de desenvolvimento.
Os arquivos roubados das redes das vítimas são armazenados diretamente nos servidores da operação VanHelsing, enquanto a equipe principal afirma realizar testes de penetração regulares para garantir a segurança e a confiabilidade do sistema.
Atualmente, o portal de extorsão VanHelsing na dark web lista três vítimas, duas nos EUA e uma na França. Uma das vítimas é uma cidade no Texas, enquanto as outras duas são empresas de tecnologia.
Os operadores de ransomware ameaçam vazar os arquivos roubados nos próximos dias se suas demandas financeiras não forem atendidas. De acordo com a investigação da Check Point, isso representa uma exigência de resgate de US$ 500.000 (R$ 2.500.000,00).
Modo Furtivo
O ransomware VanHelsing foi desenvolvido em C++, e evidências sugerem que ele foi implantado pela primeira vez em 16 de março.
VanHelsing emprega o algoritmo ChaCha20 para criptografia de arquivos, gerando uma chave simétrica de 32 bytes (256 bits) e um nonce de 12 bytes para cada arquivo.
Esses valores são então criptografados usando uma chave pública Curve25519 incorporada, e o par chave/nonce criptografado resultante é armazenado no arquivo criptografado.
O VanHelsing criptografa parcialmente arquivos maiores que 1 GB, mas executa o processo completo em arquivos menores.
O malware oferece suporte à personalização avançada da CLI para adaptar os ataques por vítima, como direcionar unidades e pastas específicas, restringir o escopo da criptografia, se espalhar via SMB, ignorar a exclusão de cópias de sombra e habilitar o modo furtivo de duas fases.
No modo de criptografia normal, o VanHelsing enumera arquivos e pastas, criptografa o conteúdo do arquivo e renomeia o arquivo resultante, adicionando a extensão ‘.vanhelsing’.
No modo furtivo, o ransomware separa a criptografia da renomeação de arquivos, o que tem menos probabilidade de acionar alarmes, pois os padrões de E/S dos arquivos imitam o comportamento normal do sistema.
Mesmo que as ferramentas de segurança reajam no início da fase de renomeação, na segunda passagem, todo o conjunto de dados alvo já estará criptografado.
Apesar de parecer avançado e em rápida evolução, a Check Point identificou algumas falhas que revelam imaturidade no código.
Isso inclui inconsistências na extensão do arquivo, erros na lógica da lista de exclusão que podem desencadear passagens duplas de criptografia e vários sinalizadores de linha de comando não implementados.
Apesar da presença de erros, o VanHelsing continua sendo uma ameaça crescente e preocupante que pode começar a ganhar força em breve.