Una operación de ransomware como servicio (RAAS) llamada Vanhelsing Ya ha reclamado tres víctimas desde que se lanzó el 7 de marzo de 2025.
“El modelo RAAS permite que una amplia gama de participantes, desde piratas informáticos experimentados hasta recién llegados, se involucre con un depósito de $ 5,000. Los afiliados mantienen el 80% de los pagos de rescate, mientras que los operadores principales ganan un 20%,” “Punto de cheques dicho En un informe publicado durante el fin de semana. /p>
“La única regla no es apuntar a la Commonwealth de los Estados Independientes (CIS)”.
Al igual que con cualquier programa de ransomware respaldado por afiliados, Vanhelsing afirma ofrecer la capacidad de dirigir una amplia gama de sistemas operativos, incluidos Windows, Linux, BSD, ARM y ESXI. También emplea lo que se llama el modelo de doble extorsión de robo de datos antes del cifrado y amenazando con filtrar la información a menos que la víctima paga.
Los operadores de RAAS también han revelado que el esquema ofrece un panel de control que funciona “sin problemas” en dispositivos de escritorio y móviles, incluso con soporte para el modo oscuro.
Lo que hace que Vanhelsing sea notable es que permite que los afiliados de buena reputación se unan de forma gratuita, mientras que se requieren que los nuevos afiliados paguen un depósito de $ 5,000 para obtener acceso al programa.
Una vez lanzado, el ransomware basado en C ++ toma medidas para eliminar copias en la sombra, enumerar las unidades locales y de red, y cifrar archivos con la extensión “.vanhelsing”, después de lo cual se modifica el papel tapiz de escritorio, y se cae una nota de rescate en el sistema de víctimas, instándolos a hacer un pago de bitcoin.
También admite varios argumentos de línea de comandos para dictar varios aspectos del comportamiento del ransomware, como el modo de cifrado que se utilizará, las ubicaciones que deben estar encriptadas, difundir el casillero a los servidores SMB y omitir el nombre de los archivos con la extensión de ransomware en el modo “silencioso”.
De acuerdo a CyfirmaLas compañías gubernamentales, de fabricación y farmacéutica ubicadas en Francia y Estados Unidos se han convertido en los objetivos de la operación naciente de ransomware.
“Con un panel de control fácilmente fácil de usar y actualizaciones frecuentes, Vanhelsing se está convirtiendo en una herramienta poderosa para los cibercriminales”, dijo Check Point. Dentro de las dos semanas de su lanzamiento, ya ha causado daños significativos, infectando a múltiples víctimas y exigiendo fuertes rescates.
La aparición de Vanhelsing coincide con una serie de desarrollos en el panorama de ransomware en constante evolución –
- El descubrimiento de Nuevas versiones de Ransomware Albabat que van más allá de Windows a Linux y MacOS, el sistema de recopilación y la información de hardware
- Estampado Ransomware, una versión renombrada de Eldorado, se ha convertido en uno de los grupos RAAS más activos en 2025, dirigido a los sectores de tecnología, fabricación, construcción, finanzas y minoristas.
- Blacklock es reclutamiento activo Los traficantes impulsan las primeras etapas de los ataques de ransomware, lo que dirige a las víctimas a páginas maliciosas que implementan malware capaz de establecer el acceso inicial a los sistemas comprometidos
- El marco de malware basado en JavaScript conocido como Socgholish (también conocido como FakeUpdates) se está utilizando para entregar Ransomhub ransomware, una actividad atribuida a un clúster de amenaza denominado scylla de agua
- La explotación de fallas de seguridad en los electrodomésticos Fortinet Firewall (CVE-2024-55591 y CVE-2025-24472) por un actor de amenaza denominado Mora_001 Desde finales de enero de 2025, para entregar una tensión de ransomware de ransomware de nombre en código Superblack, una versión modificada de Lockbit 3.0 que utiliza una herramienta de exfiltración de datos personalizada
- El grupo de ransomware BABUK2 (también conocido como Babuk-Bjorka) ha sido observado Reutilizando datos de violaciones anteriores asociadas con Ransomhub, Funksec, Lockbit y Babuk para emitir demandas falsas de extorsión a las víctimas
De acuerdo a estadística Compilado por Bitdefender, febrero de 2025 fue el peor mes para el ransomware en la historia, alcanzando un récord de 962 víctimas, frente a 425 víctimas en febrero de 2024. De las 962 víctimas, 335 han sido reclamados por el Grupo CL0P RAAS.
Otra tendencia notable es el aumento de los ataques remotos de cifrado, en el que los atacantes de ransomware comprometen un punto final no administrado y aprovechan el acceso a los datos de cifrado en las máquinas administradas y unidas por dominio.
Datos de telemetría compartidos por Sophos revelado que ha habido un aumento en el cifrado remoto en un 50% interanual en 2024, y un aumento del 141% desde 2022.
“El cifrado remoto ahora se ha convertido en una parte estándar de la bolsa de trucos de los grupos de ransomware”, dijo Chester Wisniewski, director y CISO de campo global en Sophos. “Cada organización tiene puntos ciegos y los delincuentes de ransomware se apresuran a explotar las debilidades una vez descubiertas”.
“Cada vez más, los delincuentes buscan estas esquinas oscuras y las usan como camuflaje. Las empresas deben ser hipervigilantes para garantizar la visibilidad en todo su patrimonio y monitorear activamente cualquier actividad de archivo sospechoso”.
About the Author
