一种名为 VanHelsing 的新型多平台勒索软件即服务 (RaaS) 操作已经出现,其目标是 Windows、Linux、BSD、ARM 和 ESXi 系统。
3 月 7 日,“范海辛” (VanHelsing) 首次在地下网络犯罪平台上推广,为经验丰富的会员提供免费加入通行证,同时要求经验较少的威胁行为者缴纳 5,000 美元的押金。
CYFIRMA于上周晚些时候首次记录了这一新的勒索软件操作,而Check Point Research 则进行了更深入的分析,并于昨日发表。
Check Point 的分析师报告称,VanHelsing 是一个俄罗斯的网络犯罪项目,禁止针对独联体 (CIS) 国家的系统。
联盟会员可以保留 80% 的赎金,而运营商则收取 20% 的佣金。付款通过自动托管系统处理,该系统采用两个区块链确认来确保安全。
被接受的附属机构可以访问具有完整操作自动化的面板,同时还可以获得开发团队的直接支持。
从受害者网络窃取的文件直接存储在 VanHelsing 行动的服务器上,而核心团队声称他们会定期进行渗透测试,以确保一流的安全性和系统可靠性。
目前,暗网上的 VanHelsing 勒索门户列出了三名受害者,两名在美国,一名在法国。其中一个受害者是德克萨斯州的一个城市,另两名受害者是科技公司。
勒索软件运营商威胁称,如果他们的财务要求得不到满足,他们将在未来几天泄露被盗文件。根据 Check Point 的调查,赎金金额为 50 万美元。
VanHelsing 勒索软件用 C++ 编写,有证据表明它于 3 月 16 日首次在野部署。
VanHelsing 使用 ChaCha20 算法进行文件加密,为每个文件生成一个 32 字节(256 位)的对称密钥和一个 12 字节的随机数。
然后使用嵌入的 Curve25519 公钥加密这些值,并将生成的加密密钥/随机数对存储在加密文件中。
VanHelsing 对大于 1GB 的文件进行部分加密,但对较小的文件运行完整的加密过程。
该恶意软件支持丰富的 CLI 定制,以针对每个受害者定制攻击,例如针对特定驱动器和文件夹、限制加密范围、通过 SMB 传播、跳过卷影副本删除以及启用两相隐身模式。
在正常加密模式下,VanHelsing 会枚举文件和文件夹,加密文件内容,并重命名生成的文件并附加“.vanhelsing”扩展名。
在隐身模式下,勒索软件将加密与文件重命名分离,由于文件 I/O 模式模仿正常系统行为,因此不太可能触发警报。
即使安全工具在重命名阶段开始时做出反应,在第二遍时,整个目标数据集就已经被加密了。
尽管 VanHelsing 看起来很先进并且在快速发展,Check Point 注意到了一些暴露代码不成熟的缺陷。
其中包括文件扩展名不匹配、可能触发双重加密的排除列表逻辑错误以及几个未实现的命令行标志。
尽管存在错误,范海辛 (VanHelsing) 仍然是一个令人担忧的不断上升的威胁,似乎很快就会开始获得关注。
原文始发于微信公众号(犀牛安全):新的 VanHelsing 勒索软件针对 Windows、ARM、ESXi 系统
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3914675.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论