There’s been a notable shift in the types of threats targeting software developers, with a total of 17,954 open source malware packages identified in Q1 2025, according to Sonatype. Quarterly breakdown (Source: Sonatype) The Q1 figure represents a significant decrease from the more than 34,000 malicious packages discovered last quarter, largely due to a sharp drop in security holdings packages. However, compared to the same period last year, the overall malware count more than doubled. … More →
The post Open-source malware doubles, data exfiltration attacks dominate appeared first on Help Net Security.
一种名为 VanHelsing 的新型多平台勒索软件即服务(RaaS)操作已经出现,其攻击目标涵盖 Windows、Linux、BSD、ARM 和 ESXi 系统。
3 月 7 日,VanHelsing首次在地下网络犯罪平台上进行推广,可使经验较多的会员免费加入,但要求经验较少的威胁者缴纳 5000 美元的押金。
CYFIRMA 在上周晚些时候首次记录了这一新的勒索软件操作,Check Point Research 则进行了更深入的分析,并于昨日发表相关报告。
VanHelsing内部运作
Check Point 的分析师报告称,VanHelsing 是一个俄罗斯的网络犯罪项目,该项目禁止针对独联体(CIS)国家的系统进行攻击。
联盟会员能够保留 80% 的赎金,而运营商收取 20% 的佣金。付款通过自动托管系统处理,该系统采用两个区块链确认来保障安全。
VanHelsing 广告邀请会员加入
被接受的附属机构可以访问具有完整操作自动化的面板,同时还能获得开发团队的直接支持。
从受害者网络窃取的文件直接存储在 VanHelsing 行动的服务器上。核心团队声称,他们会定期进行渗透测试,以确保系统具备一流的安全性和可靠性。
目前,暗网上的 VanHelsing 勒索门户列出了三名受害者,其中两名在美国,一名在法国。其中一个受害者是德克萨斯州的一个城市,另外两名受害者是科技公司。
VanHelsing 勒索页面
勒索软件运营商威胁称,如果他们的财务要求得不到满足,将在未来几天泄露被盗文件。根据 Check Point 的调查,赎金金额为 50 万美元。
VanHelsing 的勒索信
隐身模式
VanHelsing 勒索软件由 C++ 编写,有证据显示它于 3 月 16 日首次在实际环境中部署。
VanHelsing 使用 ChaCha20 算法进行文件加密,为每个文件生成一个 32 字节(256 位)的对称密钥和一个 12 字节的随机数。然后,使用嵌入的 Curve25519 公钥加密这些值,并将生成的加密密钥 / 随机数对存储在加密文件中。
VanHelsing 对大于 1GB 的文件进行部分加密,但对较小的文件则运行完整的加密过程。
该恶意软件支持丰富的 CLI 定制,以便针对每个受害者定制攻击。例如,可以针对特定驱动器和文件夹、限制加密范围、通过 SMB 传播、跳过卷影副本删除,以及启用两相隐身模式。
在正常加密模式下,VanHelsing 会枚举文件和文件夹,加密文件内容,并重命名生成的文件,附加 “.vanhelsing” 扩展名。
在隐身模式下,勒索软件将加密与文件重命名分离。由于文件 I/O 模式模仿正常系统行为,因此不太可能触发警报。即使安全工具在重命名阶段开始时做出反应,在第二遍操作时,整个目标数据集也已经被加密了。
隐形加密功能
尽管 VanHelsing 看起来很先进且发展迅速,但 Check Point 注意到了一些代码不成熟的问题。其中包括文件扩展名不匹配、可能触发双重加密的排除列表逻辑错误,以及几个未实现的命令行标志。尽管存在这些错误,VanHelsing 仍然是一个令人担忧且不断上升的威胁,正在逐渐受到更多关注。