Il recente lancio di VanHelsing, un'operazione di ransomware-as-a-service (RaaS), ha fatto notizia per aver già colpito tre vittime dal 7 marzo 2025, richiedendo riscatti fino a 500.000 dollari. Questo modello RaaS permette a una vasta gamma di partecipanti, dai hacker esperti ai neofiti, di partecipare con un deposito di 5.000 dollari. Gli affiliati mantengono l'80% dei pagamenti, mentre gli operatori principali guadagnano il 20%. Una regola fondamentale è evitare di colpire i Paesi della Comunità degli Stati Indipendenti.

Caratteristiche di VanHelsing

VanHelsing si distingue per la capacità di bersagliare diversi sistemi operativi, come Windows, Linux, BSD, Arm ed ESXi, e per l'uso del modello di doppia estorsione. Questo approccio implica il furto di dati prima della crittografia, minacciando di pubblicare le informazioni se il riscatto non viene pagato. Il software offre un pannello di controllo per gestire le operazioni, accessibile su desktop e dispositivi mobili, con supporto per la modalità scura.

Un aspetto interessante di VanHelsing è che consente agli affiliati con buona reputazione di unirsi gratuitamente, mentre i nuovi affiliati devono pagare un deposito per accedere al programma. Una volta lanciato, il ransomware, scritto in C++, elimina le copie shadow, enumera le unità locali e di rete, e cripta i file con l'estensione ".vanhelsing". Dopo l'infezione, il wallpaper del desktop viene modificato e viene lasciata una nota di riscatto per richiedere il pagamento in Bitcoin.

Funzionalità avanzate

Il ransomware supporta diversi argomenti da linea di comando per controllare il comportamento del software, come la modalità di crittografia, le posizioni da criptare, la diffusione ai server SMB, e la possibilità di rinominare i file in modalità "Silenziosa".

Impatto e diffusione

Secondo CYFIRMA, VanHelsing ha preso di mira aziende governative, manifatturiere e farmaceutiche in Francia e negli Stati Uniti. Grazie a un pannello di controllo user-friendly e aggiornamenti frequenti, VanHelsing si sta rapidamente affermando come uno strumento efficace per i cybercriminali, provocando danni significativi in poche settimane.

Questo lancio coincide con altre evoluzioni nel panorama del ransomware, come nuove versioni di Albabat, il gruppo BlackLock che recluta attivamente per attacchi iniziali, e l'uso del framework SocGholish per diffondere ransomware. Inoltre, l'exploit di vulnerabilità nei dispositivi firewall Fortinet è stato sfruttato da un attore minaccioso per diffondere una nuova variante di ransomware. Infine, il gruppo Babuk2 si è distinto per l'uso di dati da precedenti violazioni per richieste di estorsione false.