VanHelsing, az új ransomware törzs
A CYFIRMA különböző underground fórumok monitorozása során azonosított egy új ransomware törzset, a VanHelsing-et. Az új ransomware titkosítja a fájlokat, és váltságdíjat követel a visszafejtésükért. Szokás szerint kettős zsarolási taktikát is alkalmaz, tehát azzal fenyegeti áldozatait, hogy nyilvánosságra hozza a megszerzett adatokat, amennyiben nem fizetik ki a váltságdíjat. A VanHelsing a Windows operációs rendszert veszi célba, és eddig olyan szektorokat támadott meg az Egyesült Államokban és Franciaországban, mint a kormányzat, a gyártás és a gyógyszeripar.
A VanHelsing a titkosított fájlokhoz a ‘[.]vanhelsing’ kiterjesztést csatolja, módosítja az asztali háttérképet, és egy ‘README[.]txt’ nevű váltságdíjfizetési feljegyzést helyez el az áldozat rendszerén. A ransomware a debug környezeteket keresi, ami segíti a zsarolóvírust abban, hogy elkerülje az elemzési és észlelési kísérleteket.
A ransomware a Windows Management Instrumentation (WMI) keretrendszerhez intéz hívásokat. A WMI egy hatékony eszköz, amelyet számos legitim alkalmazás és szolgáltatás használ, de a rosszindulatú programok is kihasználhatják parancsok végrehajtására, információgyűjtésre vagy rendszermódosításra. A Ransomware a „HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”-ba helyezi magát. Ez a registry key lehetővé teszi a ransomware számára a perzisztenciát, és a rejtett működést.
A CYFIRMA megosztotta a MITRE ATT&CK szerinti TTP-ket és a Sigma szabályokat.