VanHelsing, dünya çapındaki kuruluşların tehdit ortamını temelden değiştiren, gelişmiş bir hizmet olarak fidye yazılımı operasyonu olarak ortaya çıktı.
İlk olarak 7 Mart 2025’te gözlemlenen bu çok platformlu dolap, bağlı kuruluşlara kolaylaştırılmış bir hizmet modeli sunarak fidye yazılımı dağıtım stratejilerinde önemli bir artışı temsil ediyor.
Operasyon, yeni bağlı kuruluşlardan 5.000 ABD Doları tutarında bir depozito talep ediyor ve onları tüm fidye ödemelerinin yüzde 80’iyle ödüllendirerek, çeşitli bilgi işlem ortamlarında saldırıları hızla uygulayan ölçeklenebilir bir suç kuruluşu yaratıyor.
Picus Güvenlik analistleri, fidye yazılımının yalnızca geleneksel Windows sistemlerini hedef almadığını, aynı zamanda Linux sunucularına, BSD kurulumlarına, ARM tabanlı cihazlara ve ESXi sanallaştırma altyapısına erişimini genişleterek potansiyel kurbanların kapsamını önemli ölçüde genişlettiğini belirledi.
RaaS modelinin agresif pazar girişi halihazırda somut bir etki göstermiştir. Grup, lansmanından sonraki iki hafta içinde bilinen en az üç kurbanı başarıyla ele geçirdi ve fidye görüşmelerini başlattı; taleplerden birinin 500.000 dolara ulaştığı bildirildi.
Operasyonun belirtilen tek kısıtlaması, Bağımsız Devletler Topluluğu içindeki ulusların hedef alınmasını yasaklıyor ve bu da tehdit aktörleri ile belirli jeopolitik çıkarlar arasında koordinasyon olduğunu gösteriyor.
Bu yaklaşımın gelişmişliği, bağlı şirketlerin kampanyalarını bağımsız olarak yönetebilmeleri ve aynı zamanda merkezi altyapıyı operatörlerin kontrolü altında tutabilmeleri için kullanıcı dostu bir kontrol paneli aldığı operasyonel esnekliğinde yatmaktadır.
Picussecurity güvenlik analistleri, VanHelsing dolabının aktif ve hızlı bir şekilde geliştirilmekte olan bir aracı temsil ettiğini belirledi.
Yalnızca beş gün arayla derlenen iki varyantın keşfi, kötü amaçlı yazılımın yeteneklerinin sürekli olarak geliştirildiğini ve iyileştirildiğini ortaya koyuyor.
Bu gelişme hızı, operatörlerin savunma önlemlerine yanıt verdiklerini ve bağlı kuruluş geri bildirimleri ve gerçek dünyadaki dağıtım deneyimlerine dayalı olarak işlevselliği genişlettiklerini gösteriyor.
Mutasyon ve Konfigürasyon Stratejisi
Fidye yazılımının mimarisi, gizlilik yerine operasyonel esnekliğe öncelik veren kasıtlı tasarım seçimlerini ortaya koyuyor. C++ ile yazılan VanHelsing, operatörlerin saldırı davranışını belirli hedef ortamlara göre özelleştirmesine olanak tanıyan kapsamlı bir komut satırı argüman sistemi kullanır.
Yürütme üzerine kötü amaçlı yazılım, birden fazla örneğin şifreleme işlemlerine müdahale etmesini önlemek için “Global\VanHelsing” adı verilen adlandırılmış bir muteks oluşturmaya çalışır, ancak bu koruma Force argümanı kullanılarak atlanabilir.
Fidye yazılımı, işletim sistemi zamanlayıcısından ayrıcalıklı muamele almak için işlem önceliğini artırır ve öncelik yok işareti tarafından bastırılmadığı sürece şifrelemenin tamamlanmasını hızlandırır.
Şifreleme uygulaması güvenlik uzmanlığını gösterir. VanHelsing, her dosya için benzersiz 32 baytlık anahtarlar ve 12 baytlık tekillikler oluşturarak içeriği ChaCha20 akış şifresiyle şifreliyor.
Bu geçici değerler daha sonra ikili dosya içinde sabit kodlanmış gömülü bir Curve25519 genel anahtarı kullanılarak şifrelenir, böylece yalnızca özel anahtarı tutan operatörlerin kurban dosyalarının şifresini çözebilmesi sağlanır.
Sessiz mod gibi ek komut satırı argümanları, güvenlik uyarılarını tetiklemeden iki aşamalı şifrelemeyi mümkün kılarken spread-smb, ağ paylaşımları arasında yanal hareketi kolaylaştırır.
Operasyonel esneklikle birleşen bu teknik gelişmişlik, VanHelsing’i desteklenen tüm platformlarda kapsamlı savunma stratejileri gerektiren zorlu bir tehdit haline getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
