Operativo dal marzo 2025, VanHelsingRaaS colpisce Windows, Linux e ESXi, con affiliazioni per 5.000 dollari. In pochi giorni sono già state segnalate tre vittime e due varianti.
Autore: Redazione SecurityOpenLab
Si chiama VanHelsingRaaS il nuovo programma di affiliazione ransomware-as-a-service che ha preso il via il 7 marzo 2025 e ha rapidamente guadagnato notorietà per la sua crescita esponenziale e per l'efficacia dimostrata. A monitorare questa minaccia sono gli esperti di Check Point Research, che in un report dettagliato ne descrivono gli aspetti tecnici e commerciali, gli obiettivi e gli Indicatori di Compromissione.
Secondo quanto riportato dalla fonte, in meno di due settimane dal debutto VanHelsingRaaS ha già colpito almeno tre vittime note, alle quali ha richiesto riscatti significativi in cambio della chiave di decifrazione dei dati e della cancellazione delle informazioni esfiltrate. VanHelsingRaaS opera secondo un modello che permette di aderire a una vasta gamma di attaccanti, con vari livelli di competenza tecnica, previo versamento di 5.000 dollari a titolo di deposito. Per quanto riguarda la spartizione dei proventi, gli affiliati trattengono l'80% dei pagamenti dei riscatti, mentre il restante 20% va agli operatori principali del RaaS.
Gli esperti reputano che gli operatori siano di lingua russa, dato che l’analisi del codice dei campioni di due varianti ha evidenziato il divieto di attaccare i paesi membri della Comunità degli Stati Indipendenti (CIS), come quasi sempre avviene nel contesto del cybercrimine russo.
Una caratteristica distintiva del ransomware associato a VanHelsingRaaS è il supporto multipiattaforma, che permette di colpire una vasta gamma di sistemi, tra cui Windows, Linux, BSD, ARM ed ESXi, ampliando significativamente il raggio d'azione del ransomware. Il programma fornisce inoltre un pannello di controllo che semplifica la gestione e l'esecuzione delle campagne ransomware, a beneficio degli affiliati meno esperti.
Dal punto di vista tecnico, il ransomware è stato individuato per la prima volta il 16 marzo 2025, è scritto in linguaggio C++ e il campione analizzato presenta un timestamp di compilazione che coincide con il giorno dell'attacco alla prima vittima nota. Questo suggerisce una distribuzione immediata dopo la sua creazione. Il ransomware accetta diversi comandi da riga di comando per il controllo capillare del processo di crittografia, tra cui l’opzione di cifrare unità di rete e locali, oppure specifiche directory e file.
Uno degli aspetti preoccupanti di questa nuova minaccia è la sua rapida evoluzione: sono già state individuate e analizzate due varianti del ransomware, compilate a soli cinque giorni di distanza l'una dall'altra. Quella più recente delle due presenta aggiornamenti significativi, che ne evidenziano la dinamicità e l'adattabilità