サイバーニュース.jp

世界のサイバーなニュースを配信

新RaaS型ランサムウェア「VanHelsing」がWindows、Linux、BSD、ARM、ESXiを標的に

カテゴリ:

はじめに

サイバー犯罪の領域に、新たな脅威として「VanHelsing」と名付けられた洗練されたランサムウェアが登場しました。このランサムウェアは、Ransomware-as-a-Service(RaaS)プラットフォームとして機能し、その破壊的な能力を関連する脅威アクターにライセンス供与しています。2025年3月7日に初めて観測されて以来、VanHelsingは多様なインフラプラットフォームを標的とした攻撃を驚くべき速さで拡大しています。

RaaSモデルとその仕組み

VanHelsingは、サブスクリプションベースのモデルを採用しており、ランサムウェア運用への参入障壁を大幅に下げています。新規のアフィリエイトは、プラットフォームの高度なツールとインフラにアクセスするために5,000ドルの保証金を支払う必要があります。その見返りとして、アフィリエイトは徴収された身代金の80%を受け取ることができ、広範な展開に対する強力な金銭的インセンティブが生まれています。運営側は、独立国家共同体(CIS)内の国々を標的にすることを禁止するという、唯一の運用制限を設けています。

このモデルはすでに壊滅的な効果を発揮しています。3月7日のローンチからわずか2週間で、VanHelsingは少なくとも3つの既知の被害者を成功裏に侵害し、単一の交渉で50万ドルに達する身代金要求が報告されています。この急速な成功は、プラットフォームが多数のアフィリエイトを引きつけ、RaaSビジネスモデルの拡張性の高さを証明しています。

驚異的な多プラットフォーム対応

VanHelsingが他の多くのランサムウェア運用と一線を画すのは、その前例のない多プラットフォームサポートです。このランサムウェアは、従来のWindowsシステムだけでなく、Linux、BSD、ARMアーキテクチャ、およびVMware ESXi仮想化プラットフォームも標的とします。この広範な標的設定能力は、潜在的な被害者層を劇的に拡大し、運用上の高度な洗練度を示しています。アフィリエイトは、キャンペーンを管理するための直感的なコントロールパネルにアクセスでき、深い技術的専門知識を必要とせずに迅速な展開が可能です。このランサムウェア能力の民主化は、進化する脅威の状況における懸念すべき傾向を表しています。

技術的洗練と暗号化

VanHelsingのバイナリ分析により、高度に設計されたC++アプリケーションであり、急速な反復開発が行われていることが明らかになりました。わずか5日間でコンパイルされた2つのバリアントは、実質的な技術的更新と改良を示しており、開発者が実際の展開フィードバックを積極的に監視し、機能を強化していることを示唆しています。このランサムウェアは、Curve25519楕円曲線アルゴリズムとChaCha20ストリーム暗号を組み合わせた最新のハイブリッド暗号化スキームを採用しています。各ファイルはランダムに生成されたエフェメラルキーとノンスで暗号化され、それら自体が運営者のハードコードされた公開鍵で暗号化されるため、復号化を促進できるのは運営者のみです。

パフォーマンス最適化は、エンタープライズ環境への配慮を示しています。1GBを超えるファイルは部分的に暗号化され、最初の30%のみが暗号化されます。この戦略は、データベースサーバーや大規模なファイルリポジトリでの展開を加速させつつ、破壊的な影響を維持します。

横方向の移動能力と回避技術

VanHelsingは、高度なフォレンジック対策技術を組み込んでいます。これには、WMIクエリを介したWindowsボリュームシャドウコピーの体系的な削除が含まれ、防御者にとって主要な回復手段を排除します。また、このランサムウェアは、暗号化とファイル名の変更を別々の運用段階に分割することで、エンドポイント検出および応答(EDR)システムを回避するように設計された意図的な「サイレント」モードを備えています。

ネットワーク伝播機能により、SMB共有およびvCenter環境全体での横方向の移動が可能になります。--spread-smbパラメータで展開されると、ランサムウェアは埋め込まれたpsexec.exeバイナリをドロップし、ネットワーク全体でコピーをリモート実行し、インフラ全体への迅速な侵害を促進します。

組織への推奨事項

VanHelsingの出現は、ランサムウェア運用の継続的な進化とプロフェッショナル化を浮き彫りにしています。組織は、以下の対策を優先する必要があります。

  • オフラインバックアップ戦略の優先
  • 堅牢なネットワークセグメンテーションの実装
  • シャドウコピーの削除、疑わしいWMIクエリ、異常なSMBトラフィックパターンを具体的に標的とした行動監視の展開
  • 運用上で遭遇する前に、この新たな脅威に対する防御の有効性を検証するためのシミュレートされた攻撃テストを通じたタイムリーなセキュリティ検証

元記事: https://gbhackers.com/vanhelsing-ransomware/

投稿をさらに読み込む