Ransomware : VanHelsing, un nouveau venu aux grandes ambitions

L’enseigne de ransomware en mode service VanHelsing est publiquement connue depuis la mi-mars. À ce jour, sa vitrine revendique quatre victimes, dont l’expert français en produits d’habillage pour l’électronique Atos. Mais elles pourraient être déjà plus nombreuses. 

Les chercheurs de Cyfirma ont été les premiers à le documenter. Ceux de Check Point leur ont emboîté le pas, avec considérablement plus de détails. Selon eux, cette franchise de rançongiciel a été effectivement lancée le 7 mars, offrant 80 % des rançons obtenues aux affidés, le reste revenant à l’enseigne. Une caution de 5 000 $ est demandée aux nouveaux affidés et leur part leur est versée après deux confirmations de paiement sur la blockchain. Comme souvent, les règles du programme d’affiliation interdisent les attaques contre des organisations de la sphère d’influence russe. 

Les administrateurs de l’enseigne promettent le support des systèmes Windows, mais également Linux/ESXi ainsi que BSD et ARM. De quoi laisser à supposer un intérêt pour les machines Apple. Pour l’heure, seuls des échantillons conçus pour Windows ont été observés.

Le premier a été découvert le 16 mars, alors qu’il venait de faire une victime. Le ransomware de VanHelsing apparaît écrit en C++. Mais son code ne suggère pas un développement de très haut niveau. Selon nos sources, une première version ne chiffrait pas les fichiers de plus de 4 Go et chargeait chaque fichier intégralement en mémoire vive pour le chiffrer, avant d’écrire la version chiffrée sur l’original. Désormais, le rançongiciel procède par blocs de 1 Mo.

Selon les constatations de Check Point, le ransomware de VanHelsing se contente de chiffrer 30 % des fichiers de plus de 1 Go. Il embarque en outre des capacités d’énumération des partages réseau montés ainsi que de propagation via SMB.