Resumo
O operador do RaaS exige um depósito inicial de US$5.000 de novos afiliados e oferece até 80% da receita de resgates aos afiliados. Em apenas duas semanas após o lançamento documentado, o grupo comprometeu pelo menos três vítimas conhecidas e iniciou negociações de resgate; um dos valores reportados alcançou US$500.000.
Panorama técnico
VanHelsing é escrito em C++ e expõe uma interface de linha de comando rica em argumentos que permite personalização de comportamento por afiliado e por alvo. Ao executar, o binário tenta criar uma mutex nomeada "Global\VanHelsing" para evitar instâncias concorrentes — mecanismo que pode ser contornado pela opção Force. O ransomware também pode elevar sua prioridade de processo para acelerar a criptografia, a menos que a flag no-priority seja usada.
Criptografia e persistência
A implementação criptográfica usa chaves efêmeras: gera chaves únicas de 32 bytes e nonces de 12 bytes por arquivo, aplicando ChaCha20 para cifrar conteúdo. Esses valores efêmeros são então protegidos com uma chave pública Curve25519 embutida no binário, de forma que apenas os operadores que possuam a chave privada podem desembaralhar os arquivos cifrados.
Funcionalidade operacional e mobilidade
- Argumentos como silent permitem etapas de criptografia em dois estágios sem alertar controles.
- Opções como spread-smb facilitam movimento lateral via compartilhamentos de rede.
- Foram observadas variantes compiladas com intervalos de apenas cinco dias, indicando desenvolvimento ativo e resposta rápida a contramedidas.
Impacto e alcance
A capacidade de atingir ESXi e múltiplos sistemas operacionais expande o risco a ambientes críticos de datacenter e cargas de trabalho em nuvem privada/virtualizada. A exigência financeira e o modelo de participação indicam que os operadores procuram escalar ataques por meio de afiliados com recursos operacionais diversos.
Mitigações e recomendações
- Isolar e proteger servidores de virtualização (ESXi) com segmentação de rede, controles de acesso restritivo e monitoramento especializado.
- Aplicar backups imutáveis e testados; garantir que cópias de segurança estejam offline ou inacessíveis por credenciais de host padrão.
- Monitorar uso de SMB e atividades anômalas de criação de mutex/processos com elevação de prioridade.
- Reforçar controles de onboarding de terceiros/afiliados e credenciais administrativas para reduzir risco de comprometimento inicial.
Limites das informações
O relatório da Picus descreve características técnicas e evidências de campanhas, incluindo números e exemplos de resgates reportados; entretanto, não oferece uma lista completa de vítimas ou indicadores de compromisso exaustivos. A observação de variantes compiladas em curto intervalo mostra atividade de desenvolvimento contínua.
Conclusão
VanHelsing representa uma evolução do modelo RaaS por combinar alcance multi-plataforma com um modelo de negócios atraente para afiliados (depósito inicial e fatia de 80%). A defesa exige controles perimetrais e internos reforçados, proteção de backup e monitoramento focado em ambientes de virtualização.