Andrey_Popov – shutterstock.com
Das neue RaaS-Projekt namens VanHelsing wurde erstmals am16. März von Forschern von CYFIRMA entdeckt, als Angreifer es für Verschlüsselung und doppelte Erpressung nutzten. Da es für Ziele der Gemeinschaft Unabhängiger Staaten (GUS) verboten ist, gehen die Safety-Spezialisten davon aus, dass die Hintermänner aus Russland stammen.
„Nach der Ausführung fügt VanHelsing die Erweiterung „.vanhelsing“ an die verschlüsselten Dateien an, verändert das Desktop-Hintergrundbild und legt eine Lösegeldnotiz namens „README.TXT“ auf dem System des Opfers ab“, erklären die Sicherheitsforscher.
Eines der Opfer von VanHelsing wurde Berichten zufolge aufgefordert, 500.000 Greenback an eine bestimmte Bitcoin-Pockets zu zahlen.
Ein plattformübergreifendes RaaS-Projekt
Laut CYFIRMA hat es VanHelsing vor allem auf Home windows-Anwender abgesehen. „Die Ransomware zielt auf Home windows-Systeme ab. Sie setzt fortschrittliche Verschlüsselungstechniken ein und hängt eine eindeutige Dateierweiterung an kompromittierte Dateien an“, heißt es im Forschungsbericht.
Ein paar Tage später stellte der Safety-Anbieter Test Level jedoch fest, dass im Darknet plattformübergreifende VanHelsing-Programme angeboten werden. Darunter Varianten für Linux-, BSD-, ARM- und ESXi-Systeme.
„Das RaaS-Programm bietet ein intuitives Kontrollpanel für vereinfachte Ransomware-Operationen“, so Test Level weiter. Neuere der beiden von Test Level analysierten Varianten – die im Abstand von fünf Tagen erstellt wurden – zeigten „signifikante Updates“, was auf eine sich schnell entwickelnde Ransomware hindeutet.
Ausgeklügeltes Partnerprogramm
VanHelsing ist eine raffinierte, in C++ geschriebene Ransomware, die, basierend auf dem von Test Level beobachteten Kompilierungszeitstempel, ihr erstes Opfer am selben Tag forderte, an dem sie von CYFIRMA entdeckt wurde.
„Die Ransomware akzeptiert mehrere Befehlszeilen, die den Verschlüsselungsprozess steuern, zum Beispiel je nachdem, ob Netzwerk- und lokale Laufwerke oder bestimmte Verzeichnisse und Dateien verschlüsselt werden sollen“, so Test Level weiter.
Darüber hinaus bietet das RaaS laut VanHelsings Werbe-Screenshot, der im Test Level-Blogpost veröffentlicht wurde, weitere Affiliate-freundliche Funktionen wie Verschlüsselungskontrolle, Verschlüsselungsmodi, Selbstverbreitung und Debugging.
Während neue Interessenten demnach eine Anzahlung von 5.000 Greenback leisten müssen, um Zugang zum Programm zu erhalten, können erfahrene Associates kostenlos teilnehmen. „Nach zwei Blockchain-Bestätigungen der Lösegeldzahlung des Opfers erhalten die Companion 80 Prozent der Einnahmen, während die restlichen 20 Prozent an die RaaS-Betreiber gezahlt werden“, führt CheckPoint aus.
Um die Opfer daran zu hindern, ihre Dateien wiederherzustellen, löscht das RaaS-Programm alle „Schattenkopien“, das heißt Sicherungskopien von Dateien oder Datenträgern, die vom Home windows Quantity Shadow Copy Service (VSS) erstellt wurden.
Nach Angaben von CYFIRMA hat die Ransomware bisher Regierungs-, Produktions- und Pharmaunternehmen in den USA und Frankreich angegriffen. Die Experten raten Unternehmen, robuste Verschlüsselungs-, Authentifizierungs- und Konfigurationspraktiken zu implementieren und Backups von kritischen Systemen und Dateien zu erstellen. (jm)
