3 slachtoffers, $ 5k toegangsprijs, multi-os en dubbele afpersingstactieken

Cyberbeveiliging
3 slachtoffers, $ 5k toegangsprijs, multi-os en dubbele afpersingstactieken

Een ransomware-as-a-service (RAAS) -bewerking genaamd Vanhels heeft al drie slachtoffers geëist sinds het werd gelanceerd op 7 maart 2025.

“Met het RAAS -model kan een breed scala aan deelnemers, van ervaren hackers tot nieuwkomers, betrokken raken bij een aanbetaling van $ 5.000. Affiliates houden 80% van de losgeldbetalingen, terwijl de kernoperators 20% verdienen,” zei Check Point in een rapport dat dit weekend wordt gepubliceerd. “

“De enige regel is niet om zich te richten op het Gemenebest van onafhankelijke staten (CIS).”

Zoals bij elk affiliate-gesteund ransomware-programma, claimt VanHels om de mogelijkheid te bieden om zich te richten op een breed scala aan besturingssystemen, waaronder Windows, Linux, BSD, ARM en ESXI. Het maakt ook gebruik van wat het dubbele afpersingsmodel wordt genoemd om gegevens te stelen voorafgaand aan codering en dreigt de informatie te lekken, tenzij het slachtoffer betaalt.

De RAAS -operators hebben ook onthuld dat het schema een bedieningspaneel biedt dat “naadloos” werkt op zowel desktop- als mobiele apparaten, met zelfs ondersteuning voor de donkere modus.

Wat Vanhelsing opmerkelijk maakt, is dat het gerenommeerde gelieerde ondernemingen gratis kan meedoen, terwijl nieuwe gelieerde ondernemingen verplicht zijn om een ​​aanbetaling van $ 5.000 te betalen om toegang te krijgen tot het programma.

Eenmaal gelanceerd, neemt de op C ++ gebaseerde ransomware stappen om schaduwkopieën te verwijderen, lokale en netwerkaandrijvingen op te sommen en bestanden te coderen met de extensie “.Vanhelsing”, waarna het bureaubladbehang wordt gewijzigd en een losgeldbrief wordt gevallen op het slachtoffersysteem, aangespoord om een ​​bitcoin-betaling te maken.

Het ondersteunt ook verschillende opdrachtregelargumenten om verschillende aspecten van het gedrag van de ransomware te dicteren, zoals de te gebruiken coderingsmodus, de locaties die moeten worden gecodeerd, verspreid het kluisje naar SMB-servers en het opnieuw overslaan van de bestanden met de ransomware-extensie in de modus “Silent”.

Volgens Cyfirma zijn de overheids-, productie- en farmaceutische bedrijven in Frankrijk en de Verenigde Staten de doelstellingen geworden van de ontluikende ransomware -operatie.

“Met een gebruiksvriendelijk bedieningspaneel en frequente updates wordt VanHelsing een krachtig hulpmiddel voor cybercriminelen,” zei Check Point. Binnen slechts twee weken na de lancering heeft het al aanzienlijke schade veroorzaakt, meerdere slachtoffers infecteren en forse losgeld geëist.

De opkomst van VanHelsing valt samen met een aantal ontwikkelingen in het ransomware -landschap –

  • De ontdekking van nieuwe versies van albabat -ransomware die verder gaan dan Windows naar Linux en macOS, verzamelsysteem en hardware -informatie
  • Blacklock Ransomware, een omgekeerde versie van Eldorado, is een van de meest actieve RAAS -groepen geworden in 2025, gericht op technologie, productie, constructie, financiën en retailsectoren
  • Blacklock rekruteert actief handelaren om vroege stadia van ransomware -aanvallen te stimuleren, en de slachtoffers op te geven naar kwaadaardige pagina’s die malware inzetten die in staat zijn om initiële toegang tot gecompromitteerde systemen te stellen
  • Het op JavaScript gebaseerde malware-framework dat bekend staat als Socgholish (aka nep-updates) wordt gebruikt om ransomhub-ransomware te leveren, een activiteit toegeschreven aan een bedreigingscluster nagesynchroniseerd water scylla
  • De exploitatie van beveiligingsfouten in Fortinet Firewall-apparaten (CVE-2024-55591 en CVE-2025-24472) door een bedreigingsacteur MORA_001 gesynchroniseerd sinds eind januari 2025 om een ​​nieuw ontdekte Ransomware-strain codeamed Superblack te leveren, een gemodificeerde versie van een aangepaste versie van een aangepaste versie van de aangepaste versie van de aangepaste gegevens.
  • De Babuk2 (aka Babuk-Bjorka) Ransomware-groep is waargenomen dat gegevens hergebruiken van eerdere inbreuken in verband met Ransomhub, Funksec, Lockbit en Babuk om nep-afpersingseisen aan slachtoffers te geven aan slachtoffers

Volgens statistieken die door Bitdefender zijn samengesteld, was februari 2025 de slechtste maand voor ransomware in de geschiedenis, waarbij hij een record van 962 slachtoffers bereikte, tegen 425 slachtoffers in februari 2024. Van de 962 slachtoffers, 335 zijn geclaimd door de CL0P RAAS -groep.

Een andere opmerkelijke trend is de toename van externe coderingsaanvallen, waarbij ransomware-aanvallers een onbeheerd eindpunt in gevaar brengen en die toegang tot coderde gegevens over beheerde, domein-samengestelde machines.

Telemetriegegevens gedeeld door Sophos onthullen dat er een toename is van externe codering met 50% op jaarbasis in 2024, en een stijging van 141% sinds 2022.

“Versleuteling op afstand is nu een standaard onderdeel geworden van de tas met trucs van ransomware groepen,” zei Chester Wisniewski, directeur en wereldwijde veld CISO bij Sophos. “Elke organisatie heeft blinde vlekken en ransomware -criminelen zijn snel om zwakke punten te benutten zodra ze zijn ontdekt.”

“In toenemende mate zoeken de criminelen deze donkere hoeken en gebruiken ze als camouflage. Bedrijven moeten hypervigilant zijn om zichtbaarheid op hun hele landgoed te waarborgen en actief elke verdachte bestandsactiviteit te volgen.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google’s Wear OS 5.1 -update is Pixel -horloges versnellen

Gemini Live krijgt eindelijk realtime video- en schermuitwisseling

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]