СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.05.2025
#ИБ

Новая версия VanHelsing: анализ угрозы программ-вымогателей 2025

Новая версия VanHelsing: анализ угрозы программ-вымогателей 2025

Эксперты из FortiGuard Labs зафиксировали появление новой версии программы-вымогателя VanHelsing, которая уже стала заметной угрозой в сфере кибербезопасности. Образец программы был впервые обнаружен в марте 2025 года и демонстрирует типичные для ransomware методы работы, требуя выкуп за расшифровку зараженных файлов.

Особенности и механизмы распространения

Хотя точные способы заражения пока не раскрываются, специалисты предполагают, что методы распространения VanHelsing сходны с использованием классических техник, характерных для других семейств программ-вымогателей. После запуска программа шифрует файлы на компьютере жертвы, добавляя к названию файлов расширение «.vanlocker».

Хеш-идентификатор ключевого образца ransomware VanHelsing – SHA2 99959C5141F62D4FBB60EFDC05260B6E956651963D29C36845F435815062FD98.

Технические характеристики и тактика атак

  • Шифрование файлов происходит с добавлением расширения «.vanlocker», отличающего новую версию от варианта с расширением «.vanhelsing», но обе версии используют общие платформы для согласования выкупа и публикации украденных данных.
  • VanHelsing избегает обработки файлов в определённых системных каталогах, что свидетельствует о выборе целей для минимизации сбоев операционной системы и повышения шансов успешного выполнения вредоносного кода.
  • Визуальные признаки заражения изменены не были – в ходе тестирования и анализа иконка файлов осталась без изменений.

Деятельность киберпреступников и география атак

Киберпреступная группа, стоящая за VanHelsing, ведёт активную деятельность через сайт в сети TOR, на котором публикуются данные жертв. На момент последнего обновления там зарегистрировано как минимум шесть пострадавших организаций, среди которых:

  • Соединённые Штаты (преимущественно производственный сектор и муниципальные органы власти);
  • Италия;
  • Франция;
  • Австралия.

Особенностью атак является отсутствие очевидных различий в выборе целей по секторам, что позволяет предположить стремление преступников расширять круг пострадавших организаций.

Последствия и оценка масштабов угрозы

Существует гипотеза, что организации, которые оплачивают выкуп, удаляются с сайта утечек, что усложняет точную оценку масштабов эпидемии VanHelsing и, вероятно, означает, что реальное количество пострадавших выше, чем зафиксировано публично.

VanHelsing продемонстрировал устойчивость и адаптивность, заимствуя рабочие методы у предшественников и при этом вводя новые технические детали, что делает его серьёзной угрозой для организаций по всему миру.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: