Un nuovo attore nel panorama del crimine informatico si è fatto strada nel marzo 2025, portando con sé un nuovo servizio di ransomware-as-a-service battezzato VanHelsing. Questo progetto di origine russa ha già colpito diverse vittime di alto profilo, accendendo i riflettori sulla sua pericolosità e versatilità . La sua capacità di colpire un ampio spettro di sistemi operativi, tra cui Windows, Linux, BSD, ARM ed ESXi, ha sollevato preoccupazioni tra gli esperti di sicurezza, nonostante alcune imperfezioni che indicano ancora una fase di sviluppo non completamente matura.
Indice dei contenuti
Origini e modus operandi del ransomware
VanHelsing è emerso come un servizio di ransomware dubbio con caratteristiche particolarmente preoccupanti. Secondo le indagini svolte da Check Point Research, questo gruppo di origine russa ha adottato alcuni modelli di comportamento in comune con altri gruppi di ransomware. Tra questi, spicca il divieto di attaccare sistemi presenti nei paesi della Comunità degli Stati Indipendenti, segnale di una direzione strategica ben precisa. La struttura economica della proposta è allettante: il 80% del riscatto va agli affiliati, mentre solo il 20% resta agli operatori, incentivando numerosi cybercriminali a entrare nel racket.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
Un altro aspetto innovativo è il sistema di deposito a garanzia automatizzato che il gruppo ha introdotto per gestire i pagamenti. Questo impiega due conferme blockchain per garantire sicurezza nelle transazioni. Gli affiliati accettati ricevono inoltre un pannello di controllo completamente automatizzato, che fornisce supporto diretto dal team di sviluppo principale, rendendo questo servizio ancora più appetibile per i potenziali recruti.
La promozione di VanHelsing è cominciata tempestivamente il 7 marzo nel dark web, con una strategia di reclutamento che ha attratto diversi investitori. I membri esperti potevano entrare senza dover fare un deposito, mentre per i meno noti il costo richiesto era di 5.000 dollari, un prezzo che non spaventa molti nel contesto della criminalità informatica.
Dettagli tecnologici e strategie di attacco
Dal punto di vista tecnico, VanHelsing si distingue per il suo codice complesso, realizzato in C++. Per la crittografia dei file, utilizza l’algoritmo ChaCha20, un sistema noto per la sua robustezza. Questo processo comincia con la generazione di una chiave simmetrica da 32 byte e un nonce da 12 byte per ogni file, il che rappresenta un’impostazione crittografica avanzata. Queste chiavi vengono poi crittografate con una chiave pubblica Curve25519, incorporata nel codice, garantendo una maggiore sicurezza.
Una caratteristica curiosa del ransomware è la crittografia parziale dei file superiori a 1GB, mentre i file più piccoli vengono completamente cifrati. La personalizzazione degli attacchi è un altro vantaggio notevole, poiché VanHelsing supporta un’ampia gamma di impostazioni tramite un’interfaccia a riga di comando, consentendo agli attaccanti di adattare i loro attacchi alle specifiche esigenze di ciascuna vittima.
Particolarmente insidiosa è la modalità stealth a due fasi. Qui il processo di crittografia è separato da quello di ridenominazione dei file, complicando l’individuazione dell’attacco. I modelli di input/output imitano il normale funzionamento del sistema, quindi anche se gli strumenti di sicurezza vengono lanciati all’inizio della fase di ridenominazione, i file saranno già stati crittografati nella fase precedente, rendendo difficile recuperare i dati.
Le vittime di VanHelsing e le richieste di riscatto
Al momento, il portale di estorsione di VanHelsing, accessibile unicamente attraverso il dark web, ha già registrato tre vittime. Due di esse sono aziende tecnologiche statunitensi, mentre la terza è situata in Francia; quest’ultima è persino una città del Texas. Gli operatori minacciano di divulgare i file rubati se le loro richieste non vengono soddisfatte.
Stando a quanto emerso dalle indagini di Check Point, l’importo del riscatto richiesto si attesta su 500.000 dollari. I dati sottratti agli enti attaccati vengono memorizzati sui server del gruppo VanHelsing, che rivendica di condurre regolari test di penetrazione per garantire sicurezza e affidabilità nel proprio sistema, cercando così di presentarsi come un attore serio e organizzato nel panorama del crimine informatico.
Un dato significativo è che la distribuzione del ransomware è avvenuta per la prima volta il 16 marzo, solo nove giorni dopo il lancio ufficiale nei forum del dark web. Questo può suggerire una preparazione meticolosa e una strategia ben orchestrata da parte degli operatori.
Un progetto in evoluzione ma già preoccupante
Nonostante le apparenze di una soluzione tecnologicamente avanzata, gli analisti di sicurezza hanno identificato alcune imperfezioni nel codice di VanHelsing, suggerendo un certo grado di immaturità . Queste includono incongruenze nell’estensione dei file e errori nei criteri di esclusione, che rischiano di provocare duplicità nella crittografia. Inoltre, alcuni flag della riga di comando non sono stati implementati.
Tuttavia, tale criticità non diminuisce la pericolosità di VanHelsing, che rappresenta una minaccia crescente nel panorama informatico. La capacità di colpire vari sistemi operativi e le sue tecniche di evasione lo rendono un antagonista da non sottovalutare. Anche le organizzazioni più attrezzate con i migliori strumenti di sicurezza possono trovarsi a fronteggiare un avversario sofisticato come questo.
