FortiGuard Labs обнаружил новую вредоносную программу-шифровальщик VanHelsing, которая атакует организации в США, Европе и Австралии. Группировка шифрует файлы жертв, требует выкуп и угрожает утечкой данных, если требования не будут выполнены.
Описание
Ключевые детали атаки
Цель: Шифрование файлов с расширениями .vanlocker или .vanhelsing и требование выкупа.
Жертвы:
- 50% атак пришлось на США (включая муниципальные организации).
- Также пострадали компании в Италии, Франции и Австралии.
- Основная отрасль-мишень - производство.
Метод распространения: Точный вектор заражения неизвестен, но вероятны фишинг, уязвимости в ПО или RDP.
Особенности:
- Использует аргументы командной строки для управления процессом шифрования.
- Избегает шифрования системных файлов (например, boot.ini, Windows, Program Files).
- Меняет обои рабочего стола на угрожающее сообщение.
- Оставляет файл README.txt с инструкциями по оплате выкупа через Tor-сайт.
Угрозы и последствия
- Утечка данных: VanHelsing публикует украденную информацию на даркнет-сайте, если жертва отказывается платить.
- Неизбирательные атаки: Группировка атакует как коммерческие компании, так и государственные учреждения.
- Динамика роста: В марте-апреле 2025 года на сайте утечек появились данные 7 организаций.
VanHelsing - еще один опасный шифровальщик, который активно развивается. Организациям стоит усилить защиту сетевых периметров, контролировать доступ к RDP и внедрять многофакторную аутентификацию.
Индикаторы компрометации
SHA256
- 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17
- 99959c5141f62d4fbb60efdc05260b6e956651963d29c36845f435815062fd98
