VanHelsing RaaS: Mối Đe Dọa Mạng Tinh Vi và Đa Nền Tảng

24/03/2025
2 mins read
Nội dung
Thông Tin Về VanHelsing RaaS
Đặc Điểm Chính và Hành Vi
Thông Tin Kỹ Thuật
Mở Rộng và Tác Động
Kết Luận

Thông Tin Về VanHelsing RaaS

Chương trình VanHelsing RaaS (Ransomware-as-a-Service) đang trở thành một mối đe dọa nhanh chóng trong lĩnh vực an ninh mạng, nhắm đến nhiều nền tảng khác nhau bao gồm Windows, Linux, BSD, ARM và các hệ thống ESXi.

Đặc Điểm Chính và Hành Vi

  1. Tăng Trưởng Nhanh Chóng: VanHelsing RaaS được ra mắt vào ngày 7 tháng 3 năm 2025 và đã lây nhiễm cho ba nạn nhân trong vòng hai tuần, yêu cầu thanh toán tiền chuộc lớn.
  2. Chi Tiết Về Ransomware: Ransomware được viết bằng ngôn ngữ C++ và chứa một khóa công khai Curve25519 nhúng trong mã. Nó sử dụng thuật toán ChaCha20 để mã hóa tệp, tạo ra hai giá trị ngẫu nhiên cho mỗi tệp được mã hóa.
  3. Quá Trình Mã Hóa: Ransomware mã hóa nội dung tệp theo từng khối khoảng 1MB. Nếu kích thước tệp khoảng 1GB hoặc lớn hơn, nó sẽ chỉ mã hóa 30% đầu tiên của nội dung tệp.
  4. Mở Rộng Tệp: Các tệp đã mã hóa được gán đuôi .vanhelsing, không phải .vanlocker, điều này là một sai sót trong ransomware.
  5. Ghi Chú Tiền Chuộc: Ghi chú tiền chuộc, được ghi lại dưới dạng README.txt, thông báo cho các nạn nhân rằng mạng của họ đã bị xâm phạm và yêu cầu thanh toán bằng Bitcoin để khôi phục tệp. Nó cảnh báo rằng việc sử dụng các công cụ giải mã bên thứ ba sẽ dẫn đến mất dữ liệu vĩnh viễn.

Thông Tin Kỹ Thuật

  1. Tham Số Dòng Lệnh: Ransomware chấp nhận nhiều tham số dòng lệnh để điều khiển quá trình mã hóa, chẳng hạn như có mã hóa các ổ đĩa mạng và cục bộ hoặc các thư mục và tệp cụ thể hay không.
  2. Đường Dẫn Tệp PDB: Executable ransomware vẫn chứa đường dẫn tệp PDB, cung cấp thông tin về môi trường phát triển của nó. Đường dẫn này bao gồm đường dẫn phát triển và tên dự án liên quan đến chương trình độc hại, có thể giúp truy vết các dự án khác được phát triển bởi cùng một tác giả.
  3. Hình Ảnh Nhúng: Ransomware chứa hai hình ảnh nhúng, vhlocker.pngvhlocker.ico, được thả vào thư mục C:\\Windows\\Web. Tuy nhiên, tệp .ico không được kết hợp đúng cách với các tệp đã mã hóa do lỗi đặt tên.

Mở Rộng và Tác Động

  1. Hỗ Trợ Nền Tảng: VanHelsing RaaS đã mở rộng bề mặt tấn công bao gồm các hệ thống Linux, BSD, ARM và ESXi, khiến nó trở thành một mối đe dọa linh hoạt và nguy hiểm hơn.
  2. Bảng Điều Khiển Dễ Sử Dụng: Chương trình cung cấp một bảng điều khiển dễ sử dụng và thường xuyên cập nhật, làm cho nó trở thành công cụ hấp dẫn cho tội phạm mạng.
  3. Escalation Nhanh Chóng: Chỉ trong hai tuần sau khi ra mắt, VanHelsing RaaS đã gây ra thiệt hại đáng kể, lây nhiễm cho nhiều nạn nhân và yêu cầu tiền chuộc lớn.

Kết Luận

VanHelsing RaaS là một chương trình ransomware-as-a-service tinh vi và đang mở rộng nhanh chóng, gây ra mối đe dọa đáng kể đối với nhiều nền tảng. Khả năng nhắm mục tiêu tới nhiều hệ điều hành và giao diện thân thiện với người dùng làm cho nó trở thành một công cụ mạnh mẽ cho tội phạm công nghệ. Nhu cầu về các biện pháp an ninh mạng mạnh mẽ để chống lại những mối đe dọa như vậy được nhấn mạnh bởi sự gia tăng nhanh chóng và tác động rộng rãi của nó.

Tags