VanHelsing adlı yeni ve sofistike bir fidye yazılımı operasyonu, siber suç ortamında hızla genişleyen bir tehdit olarak ortaya çıktı.
İlk olarak 7 Mart 2025’te gözlemlenen bu operasyon, Hizmet Olarak Fidye Yazılımı (RaaS) platformu olarak işlev görüyor, yıkıcı yeteneklerini bağlı tehdit aktörlerine lisanslıyor ve çeşitli altyapı platformlarındaki saldırıları ölçeklendirmede endişe verici bir hız sergiliyor.
VanHelsing, fidye yazılımı operatörlerinin giriş engellerini önemli ölçüde azaltan abonelik tabanlı bir model altında çalışıyor.
Yeni üyelerin, platformun gelişmiş araçlarına ve altyapısına erişmek için 5.000 ABD Doları tutarında bir depozito ödemesi gerekiyor. Buna karşılık, bağlı kuruluşlar toplanan tüm fidye ödemelerinin yüzde 80’ini alıyor ve bu da yaygın dağıtım için güçlü mali teşvikler yaratıyor.
Operatörler yalnızca belirtilen bir operasyonel kısıtlamaya sahiptir: bağlı kuruluşların Bağımsız Devletler Topluluğu (BDT) içindeki ülkeleri hedeflemesi yasaktır.
Modelin zaten yıkıcı derecede etkili olduğu kanıtlandı. VanHelsing operasyonu, 7 Mart’taki lansmanından sadece iki hafta sonra bilinen en az üç kurbanı başarılı bir şekilde ele geçirdi ve fidye taleplerinin tek müzakerede 500.000 dolara ulaştığı bildirildi.
Bu hızlı başarı, platformun önemli miktarda bağlı kuruluş katılımı çektiğini ve RaaS iş modelinin ölçeklenebilirlik potansiyelini ortaya koyduğunu gösteriyor.
Platformlar Arası Tehdit Ortamı
VanHelsing’i rakip birçok fidye yazılımı operasyonundan ayıran şey, benzeri görülmemiş çoklu platform desteğidir.
Fidye yazılımı yalnızca geleneksel Windows sistemlerini değil aynı zamanda Linux, BSD, ARM mimarilerini ve VMware ESXi sanallaştırma platformlarını da hedef alıyor.
Bu geniş hedefleme yeteneği, potansiyel kurban havuzunu önemli ölçüde genişletiyor ve önemli bir operasyonel karmaşıklığı temsil ediyor.
Bağlı kuruluşlar, kampanyalarını yönetmek için sezgisel bir kontrol paneline erişerek, derin teknik uzmanlık gerektirmeden hızlı dağıtıma olanak tanır. Fidye yazılımı yeteneklerinin bu demokratikleşmesi, gelişen tehdit ortamında endişe verici bir eğilimi temsil ediyor.
VanHelsing ikili dosyasının analizi, hızlı yinelemeli geliştirme sürecinden geçen yüksek düzeyde tasarlanmış bir C++ uygulamasını ortaya çıkarır.
Yalnızca beş gün arayla derlenen iki değişken, önemli teknik güncellemeler ve iyileştirmeler gösteriyor; bu da geliştiricilerin gerçek dünyadaki dağıtım geri bildirimlerini aktif olarak izlediklerini ve buna göre yetenekleri geliştirdiklerini gösteriyor.
Fidye yazılımı, ChaCha20 akış şifresiyle eşleştirilmiş Curve25519 eliptik eğri algoritmasını içeren modern bir hibrit şifreleme şeması kullanıyor.
Her dosya, operatörlerin sabit kodlu genel anahtarı kullanılarak şifrelenen rastgele oluşturulmuş geçici anahtarlar ve nonce’ler ile şifrelenir, böylece şifre çözmeyi yalnızca kendilerinin kolaylaştırabilmesi sağlanır.
Performans optimizasyonları kurumsal ortamların dikkate alındığını gösterir. 1 GB’yi aşan dosyalar kısmi şifrelemeye tabi tutulur ve yalnızca ilk yüzde 30’u şifrelenir. Bu strateji, yıkıcı etkiyi korurken veritabanı sunucuları ve büyük dosya depoları üzerindeki dağıtımı hızlandırır.
Yanal Hareket Kabiliyeti
VanHelsing, savunucular için birincil kurtarma vektörünü ortadan kaldıran WMI sorguları aracılığıyla Windows Birim Gölge Kopyalarının sistematik olarak silinmesi de dahil olmak üzere gelişmiş adli tıp karşıtı teknikler içerir.
Fidye yazılımı ayrıca, şifrelemeyi ve dosya yeniden adlandırmayı ayrı operasyonel aşamalara bölerek uç nokta tespit ve yanıt (EDR) sistemlerinden kaçınmak için tasarlanmış kasıtlı bir “Sessiz” modu da içeriyor.
Ağ yayılma yetenekleri, SMB paylaşımları ve vCenter ortamları arasında yanal harekete olanak tanır. –spread-smb parametresi ile dağıtıldığında, fidye yazılımı gömülü psexec.exe ikili dosyalarını bırakır ve kopyaları ağ üzerinde uzaktan çalıştırarak altyapı genelinde hızlı bir şekilde uzlaşmayı kolaylaştırır.
VanHelsing’in ortaya çıkışı, fidye yazılımı operasyonlarının sürekli gelişiminin ve profesyonelleşmesinin altını çiziyor.
Kuruluşların çevrimdışı yedekleme stratejilerine öncelik vermesi, güçlü ağ bölümlemesi uygulaması ve özellikle gölge kopya silmeyi, şüpheli WMI sorgularını ve anormal SMB trafik modellerini hedef alan davranışsal izleme uygulaması gerekir.
Simüle edilmiş saldırı testi yoluyla zamanında yapılan güvenlik doğrulaması, operasyonel olarak karşılaşmadan önce ortaya çıkan bu tehdide karşı savunma etkinliğini doğrulayabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.