Kybernetické společnosti varují před novým agresivním sofistikovaným ransomwarem VanHelsing, který si zločinci můžou pronajmout za podíl na výkupném, vyjma útoku na ruské či běloruské subjekty.
VanHelsing se objevil na scéně teprve v březnu 2025, přesto už během prvních dvou týdnů fungování infikoval několik obětí a požadoval po nich vysoké částky, u některých údajně přes půl milionu dolarů.
Některé známé cíle útoků VanHelsingu
V polovině března 2025 se staly terčem systémy města Bellville v Texasu.
18. března 2025 zaútočil na francouzského výrobce elektronických skříní a racků. Průnik do sítě této firmy zahrnoval krádež technické dokumentace pro odvětví energetiky, telekomunikací, IT atd.
V druhé polovině března 2025 postihl ransomware také farmaceutickou firmu MEDS Pharmacy sídlící v New Yorku.
Koncem března 2025 se další obětí stala italská advokátní kancelář Studio CDL Vallone.
V březnu 2025 zasáhl australskou medtech společnost Compumedics Limited, výrobce diagnostických zdravotnických přístrojů, a její americkou pobočku NeuroMedical Supplies.
Na začátku dubna 2025 ohlásil VanHelsing úspěšný útok na společnost AlertEnterprisebreachsense.com. Jde o amerického dodavatele kyberfyzikálních bezpečnostních řešení pro podniky.
5. dubna 2025 se objevila na únikovém portálu VanHelsing také společnost CAS-Chileransomware.live. Tato chilská firma s 30letou tradicí se specializuje na vývoj a údržbu softwaru pro veřejnou správu.
„Zkušení hackeři i začátečníci si ransomware VanHelsing mohou jednoduše pronajmout. Stačí složit zálohu ve výši 5 000 dolarů a odvádět 20 % z výkupného,“ píše společnost Check Point Software Technologies.
Podle firmy je jedinou podmínkou pro „pronajmutí“ ransomwaru VanHelsing „vyhnout se útokům na Společenství nezávislých států (SNS), kam patří například Rusko, Bělorusko, Arménie nebo Kazachstán“.
SNS je regionální mezivládní organizace ve východní Evropě a Asii. Byla založena po rozpadu Sovětského svazu v roce 1991 a zahrnuje 9 z jeho 15 bývalých svazových republik. Sídlem organizace je hlavní město Běloruska – Minsk. Společenství zahrnuje Arménii, Ázerbájdžán, Bělorusko, Kazachstán, Kyrgyzstán, Moldavsko, Rusko, Tádžikistán a Uzbekistán. Ukrajina se podílela na vzniku SNS, ale přístupovou smlouvu nikdy neratifikovala.
Podobně Check Point Software Technologies uvádí, že se od roku 1993 zabývá řešeními na ochranu před sofistikovanými kybernetickými útoky. Její hlavní sídla leží ve Spojených státech (Redwood City) a v Izraeli (Tel Aviv).
Jak probíhá útok
Podobně jako Check Point Software Technologies varuje před VanHelsingem, i kybernetická společnost CYFIRMA, která na svém webu ukazuje i detaily z takového útoku.
Společnost Check Point Software Technologies popisuje průběh útoku následovně:
„Jedná o multiplatformní ransomware, který umožňuje útoky na různé operační systémy, včetně Windows, Linux, BSD nebo ESXi.
Ransomware lze spravovat pomocí intuitivního ovládacího panelu, který zjednodušuje vyděračské útoky. VanHelsing je navíc průběžně vylepšován a nové verze přinášejí další zákeřné funkce.
Kyberzločinci požadují od obětí 500 000 dolarů za dešifrování a smazání ukradených dat. Zpráva o výkupném je uložena v souboru README.txt v každé zašifrované složce a oběť je informována, že došlo k hacknutí sítě a zašifrování důležitých dokumentů, osobních dat a finančních zpráv.
Útočníci požadují za obnovení souborů platbu v bitcoinech a varují, že při použití dešifrátorů třetích stran dojde k trvalému zničení dat. Šifrování má být podle útočníků neprolomitelné a zaplacení výkupného je jedinou možností, jak soubory obnovit. Vzkaz končí výzvou ke kontaktování útočníků.
Ransomware VanHelsing stále roste a vyvíjí se. Vzhledem k vysokým požadavkům na výkupné a multiplatformní povaze se může rychle stát jednou z nejnebezpečnějších hrozeb.“
