Une opération Ransomware-as-a-Service (RAAS) appelée Vanhels a déjà réclamé trois victimes depuis son lancement le 7 mars 2025.
“Le modèle RAAS permet à un large éventail de participants, des pirates expérimentés aux nouveaux arrivants, pour s’impliquer dans un dépôt de 5 000 $. Les affiliés conservent 80% des paiements de rançon, tandis que les opérateurs de base gagnent 20%” dit Dans un rapport publié le week-end./p>
“La seule règle est de ne pas cibler le Commonwealth des États indépendants (CIS).”
Comme pour tout programme de ransomwares soutenu par des affiliés, VanHelSing prétend offrir la possibilité de cibler une large gamme de systèmes d’exploitation, y compris Windows, Linux, BSD, ARM et ESXi. Il utilise également ce qu’on appelle le modèle à double extorsion du vol de données avant le cryptage et menaçant de divulguer les informations à moins que la victime ne paie.
Les opérateurs RAAS ont également révélé que le schéma propose un panneau de configuration qui fonctionne “de manière transparente” sur les appareils de bureau et mobiles, avec une prise en charge uniforme pour le mode sombre.
Ce qui rend VanHelsing Notable, c’est qu’il permet aux affiliés réputés de se joindre gratuitement, tandis que de nouveaux affiliés sont tenus de payer un dépôt de 5 000 $ afin d’accéder au programme.
Une fois lancé, le ransomware basé sur C ++ prend des mesures pour supprimer des copies fantômes, énumérer les lecteurs locaux et réseau et crypter les fichiers avec l’extension “.vanhelsing”, après quoi le papier peint de bureau est modifié et une note de rançon est déposée sur le système victime, les exhortant à effectuer un paiement Bitcoin.
Il prend également en charge divers arguments en ligne de commande pour dicter divers aspects du comportement du ransomware, tels que le mode de chiffrement à utiliser, les emplacements qui doivent être cryptés, diffuser le casier aux serveurs SMB et sauter le renommer les fichiers avec l’extension de ransomware en mode “silencieux”.
Selon Cyfirmales sociétés gouvernementales, de fabrication et pharmaceutiques situées en France et les États-Unis sont devenues la cible de l’opération de ransomware naissante.
“Avec un panneau de commande convivial et des mises à jour fréquentes, VanHels devient un outil puissant pour les cybercriminels”, a déclaré Check Point. En seulement deux semaines suivant son lancement, il a déjà causé des dommages importants, infecté plusieurs victimes et exigeant de lourdes rançons.
L’émergence de VanHels coïncide avec un certain nombre de développements dans le paysage des ransomwares en constante évolution –
- La découverte de Nouvelles versions de Ransomware Albabat qui vont au-delà
- Blacklock Ransomware, une version rebaptisée d’Eldorado, est devenue l’un des groupes RAAS les plus actifs en 2025, ciblant les secteurs de la technologie, de la fabrication, de la construction, de la finance et de la vente au détail
- Blacklock est recrutement activement Traffers pour générer des étapes précoces des attaques de ransomwares, dirigeant les victimes vers des pages malveillantes qui déploient des logiciels malveillants capables d’établir un accès initial à des systèmes compromis
- Le cadre de logiciel malveillant basé sur JavaScript connu sous le nom de SocGholish (alias FakeUpdates) est utilisé pour livrer RansomHub Ransomware, une activité attribuée à un cluster de menace doublé d’eau scylla
- L’exploitation des défauts de sécurité dans les appareils de pare-feu Fortinet (CVE-2024-55591 et CVE-2025-24472) par un acteur de menace surnommé Mora_001 Depuis fin janvier 2025 pour livrer une souche de ransomware nouvellement découverte Codedamed Superblack, une version modifiée de Lockbit 3.0 qui utilise un outil d’exfiltration de données personnalisé
- Le groupe Ransomware Babuk2 (aka Babuk-Bjorka) a été observé Réutiliser les données des violations antérieures associées à RansomHub, Funksec, Lockbit et Babuk pour émettre de fausses demandes d’extorsion aux victimes
Selon statistiques Compilé par Bitdefender, février 2025 a été le pire mois pour les ransomwares de l’histoire, atteignant un record de 962 victimes, contre 425 victimes en février 2024. Des 962 victimes, 335 ont été revendiqués par le groupe Raas CL0P.
Une autre tendance notable est l’augmentation des attaques de cryptage à distance, dans lesquelles les attaquants de ransomware compromettent un critère de terminaison non géré et tirent parti de cet accès aux données de crypte sur des machines gérées par le domaine.
Données de télémétrie partagées par Sophos révèle qu’il y a eu une augmentation du chiffrement à distance de 50% en glissement annuel en 2024 et une augmentation de 141% depuis 2022.
“Le chiffrement à distance est devenu une partie standard du sac d’astuces des groupes de ransomware”, a déclaré Chester Wisniewski, directeur et Global Field Ciso chez Sophos. “Chaque organisation possède des angles morts et des criminels de ransomwares sont rapides à exploiter les faiblesses une fois découvertes.”
“De plus en plus, les criminels recherchent ces coins sombres et les utilisent comme camouflage.




