Sicherheitsforscher von Check Point Research haben jetzt eine tiefgehende, technische Analyse der neuen Ransomware-as-a-Service VanHelsing veröffentlicht. Geschrieben wurde sie in der allseits bekannten Programmiersprache C++.Gestartet wurde die neue Ransomware am 7. März 2025. Entdeckt haben Sicherheitsforscher zwei Varianten am 16. März, wobei die erste Variante am 16. März aktualisiert wurde, während die zweite Variante am 11. März kompiliert worden ist. Beide sind im Einsatz und haben in nur zwei Wochen bereits drei bekannte Opfer gefordert.
Bezahlung mit Bitcoins
VanHelsing verlangt 500.000 US-Dollar als Lösegeld, damit ein Opfer seine Daten entschlüsseln kann und die Zusage erhält, dass die Hacker alle Daten, die sie zudem gestohlen haben, löschen werden. Die Summe muss in Bitcoin bezahlt werden, auf eine von den Cyber-Kriminellen bestimmte Wallet. Die Lösegeldforderung wird in einer README.txt-Datei bekannt gegeben und besagt, dass personenbezogene Datensätze, Finanzdaten und kritische Dokumente verschlüsselt wurden und der Einsatz von Programmen dritter Parteien zur Entschlüsselung zu dauerhaftem Datenverlust führen wird. Daneben befinden sich genaue Anweisung zur Zahlung.
Das Ransomware-Mietmodell erfolgt auf zweierlei Weise: In der Hacker-Welt renommierte Anwender können kostenlos Mieter werden, während Neulinge 5.000 US-Dollar für den Zugang bezahlen müssen. Bei der Prämie ist es dann einheitlich: Nach zwei Blockchain-Bestätigungen, dass die Lösegeldzahlung in Bitcoin erfolgt ist, erhalten die Mieter 80 Prozent davon, während 20 Prozent an die Entwickler gehen. Die Mieter erhalten außerdem eine einfach zu bedienende Konsole, um ihre Attacken zu lenken, sowie die Ransomware VanHelsing, die viele verschiedene Betriebssysteme attackieren kann, darunter Microsoft Windows, Linux, BSD, ARM und ESXi.
Kein Angriff auf GUS-Staaten
Check Points Sicherheitsforscher weisen außerdem daraufhin, dass es eine streng zu befolgende Regel für die Mieter gibt: Es dürfen keine Systeme in der Gemeinschaft unabhängiger Staaten (GUS) angegriffen werden, was typisch sei für russische Cyber-Kriminelle. Der GUS gehören derzeit an: Armenien, Aserbaidschan, Weißrussland, Kasachstan, Kirgistan, Russland, Tadschikistan, Turkmenistan (beigeordnetes Mitglied) und Usbekistan.
Kommentare