VanHelsing adlı yeni bir çok platform fidye yazılımı (RAAS) operasyonu ortaya çıktı ve Windows, Linux, BSD, ARM ve ESXI sistemlerini hedefleyen.
VanHelsing ilk olarak 7 Mart’ta yeraltı siber suç platformlarında terfi etti ve deneyimli bağlı kuruluşlara daha az deneyimli tehdit aktörlerinden 5.000 dolarlık bir depozito zorunlu tutarken ücretsiz bir geçiş sundu.
Yeni fidye yazılımı operasyonu ilk olarak Cyfirma tarafından geçen hafta geç saatlerde belgelenirken, Check Point Research dün yayınlanan daha derinlemesine bir analiz gerçekleştirdi.
Vanhelsing’in içinde
Check Point analistleri, VanHelsing’in BD (Bağımsız Devletlerin Topluluğu) ülkelerindeki sistemlerde hedefleme sistemlerini yasaklayan bir Rus siber suç projesi olduğunu bildiriyor.
İştiraklerin fidye ödemelerinin% 80’ini tutmasına izin verirken, operatörler% 20’lik bir kesinti alıyor. Ödemeler, güvenlik için iki blockchain onayı kullanan otomatik emanet sistemi aracılığıyla ele alınır.
Kaynak: Kontrol Noktası
Kabul edilen iştirakler, tam operasyonel otomasyona sahip bir panele erişirken, geliştirme ekibinden doğrudan destek var.
Mağdurların ağlarından çalınan dosyalar doğrudan VanHelsing Operasyonunun sunucularında saklanırken, çekirdek ekip birinci sınıf güvenlik ve sistem güvenilirliğini sağlamak için düzenli penetrasyon testleri yaptığını iddia ediyor.
Şu anda, Dark Web’deki VanHelsing gasp portalı, ikisi ABD’de ve biri Fransa’da olmak üzere üç kurbanı listeliyor. Kurbanlardan biri Teksas’ta bir şehir, diğer ikisi de teknoloji şirketleri.
Kaynak: BleepingComputer
Fidye yazılımı operatörleri, finansal talepleri karşılanmazsa önümüzdeki günlerde çalıntı dosyaları sızdırmakla tehdit ediyor. Check Point’in soruşturmasına göre, bu 500.000 dolarlık bir fidye ödemesi.
.jpg)
Kaynak: Kontrol Noktası
Gizli mod
VanHelsing fidye yazılımı C ++ ile yazılmıştır ve kanıtlar 16 Mart’ta ilk kez Wild’a konuşlandırıldığını göstermektedir.
VanHelsing, her dosya için 32 bayt (256 bit) simetrik anahtar ve 12 baytlık bir nonce oluşturan dosya şifrelemesi için Chacha20 algoritmasını kullanır.
Bu değerler daha sonra gömülü bir eğri25519 genel anahtarı kullanılarak şifrelenir ve sonuçta ortaya çıkan şifreli anahtar/nonce çifti şifrelenmiş dosyada saklanır.
VanHelsing, 1GB’dan daha büyük olan dosyaları kısmen şifreler, ancak tüm işlemi daha küçük dosyalarda çalıştırır.
Kötü amaçlı yazılımlar, belirli sürücüleri ve klasörleri hedefleme, şifreleme kapsamını kısıtlama, KOBİ ile yayılma, gölge kopyalarını silme ve iki fazlı gizli modun etkinleştirilmesi gibi kurban başına saldırıları uyarlamak için zengin CLI özelleştirmesini destekler.
Normal şifreleme modunda, VanHelsing dosyaları ve klasörleri numaralandırır, dosya içeriğini şifreler ve ortaya çıkan dosyayı ‘.Vanhelsing’ uzantısını ekleyen dosyayı yeniden adlandırır.
Stealth modunda, fidye yazılımı, dosya G/Ç kalıpları normal sistem davranışını taklit ettiği için alarmları tetikleme olasılığı daha düşük olan dosya yeniden adlandırmasından şifrelemeyi ayırır.
Kaynak: Kontrol Noktası
Güvenlik araçları yeniden adlandırma aşamasının başlangıcında, ikinci geçişte tepki verse bile, hedeflenen tüm veri kümesi zaten şifrelenmiş olacaktır.
VanHelsing gelişmiş ve hızlı bir şekilde gelişen görünürken, Check Point kod olgunluğunu ortaya çıkaran birkaç kusur fark etti.
Bunlar, dosya uzantısındaki uyumsuzluklar, hariç tutma listesindeki çift şifreleme geçişlerini tetikleyebilecek hatalar ve birkaç uygulanmamış komut satırı bayrağı içerir.
Hataların varlığına rağmen, VanHelsing, yakında çekiş almaya başlayabilecek endişe verici bir tehdit olmaya devam ediyor.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.