Operasi ransomware-as-a-service (RAAS) yang disebut Vanhelsing telah mengklaim tiga korban sejak diluncurkan pada 7 Maret 2025.
“Model RAAS memungkinkan berbagai peserta, dari peretas berpengalaman hingga pendatang baru, untuk terlibat dengan deposit $ 5.000. Afiliasi menjaga 80% dari pembayaran tebusan, sementara operator inti berpenghasilan 20%,” kata Cek Point dalam sebuah laporan yang diterbitkan selama akhir pekan./p>
“Satu -satunya aturan adalah tidak menargetkan Commonwealth of Independent States (CIS).”
Seperti halnya program ransomware yang didukung afiliasi, VanHelsing mengklaim untuk menawarkan kemampuan untuk menargetkan berbagai sistem operasi, termasuk Windows, Linux, BSD, ARM, dan ESXi. Ini juga menggunakan apa yang disebut model pemerasan ganda mencuri data sebelum enkripsi dan mengancam untuk membocorkan informasi kecuali korban membayar.
Operator RAAS juga mengungkapkan bahwa skema ini menawarkan panel kontrol yang berfungsi “mulus” di kedua perangkat desktop dan seluler, dengan dukungan bahkan untuk Mode Gelap.
Apa yang membuat vanhelsing terkenal adalah bahwa hal ini memungkinkan afiliasi terkemuka untuk bergabung secara gratis, sementara afiliasi baru diharuskan membayar setoran $ 5.000 untuk mendapatkan akses ke program.
Setelah diluncurkan, ransomware berbasis C ++ mengambil langkah-langkah untuk menghapus salinan bayangan, menyebutkan drive lokal dan jaringan, dan mengenkripsi file dengan ekstensi “.vanhelsing,” setelah itu wallpaper desktop dimodifikasi, dan catatan tebusan dijatuhkan ke sistem korban, mendesak mereka untuk melakukan pembayaran bitoin.
Ini juga mendukung berbagai argumen baris perintah untuk menentukan berbagai aspek perilaku ransomware, seperti mode enkripsi yang akan digunakan, lokasi yang perlu dienkripsi, menyebarkan loker ke server SMB, dan melewatkan penggantian file dengan ekstensi ransomware dalam mode “diam”.
Menurut Cyfirma, pemerintah, manufaktur, dan perusahaan farmasi yang berlokasi di Prancis dan Amerika Serikat telah menjadi target operasi ransomware yang baru lahir.
“Dengan panel kontrol yang ramah pengguna dan pembaruan yang sering, VanHelsing menjadi alat yang ampuh untuk penjahat cyber,” kata Check Point. Hanya dalam dua minggu setelah peluncurannya, telah menyebabkan kerusakan yang signifikan, menginfeksi banyak korban dan menuntut tebusan yang besar.
Munculnya vanhelsing bertepatan dengan sejumlah perkembangan dalam lanskap ransomware yang terus berkembang –
- Penemuan versi baru ransomware albabat yang melampaui jendela ke Linux dan macOS, pengumpulan sistem dan informasi perangkat keras
- Blacklock Ransomware, versi rebrand dari Eldorado, telah menjadi salah satu kelompok RAAS paling aktif pada tahun 2025, menargetkan teknologi, manufaktur, konstruksi, keuangan, dan sektor ritel
- Blacklock secara aktif merekrut pedagang untuk mendorong tahap awal serangan ransomware, mengarahkan korban ke halaman jahat yang menggunakan malware yang mampu membangun akses awal ke sistem yang dikompromikan
- Kerangka kerja malware berbasis Javascript yang dikenal sebagai Socgholish (alias FakeUPDATES) digunakan untuk memberikan ransomware ransomhub, suatu kegiatan yang dikaitkan dengan ancaman kluster yang dijuluki scylla air
- The exploitation of security flaws in Fortinet firewall appliances (CVE-2024-55591 and CVE-2025-24472) by a threat actor dubbed Mora_001 since late January 2025 to deliver a newly discovered ransomware strain codenamed SuperBlack, a modified version of LockBit 3.0 that utilizes a custom data exfiltration tool
- Kelompok ransomware babuk2 (alias babuk-bjorka) telah diamati menggunakan kembali data dari pelanggaran sebelumnya yang terkait dengan ransomhub, funksec, lockbit, dan babuk untuk mengeluarkan tuntutan pemerasan palsu kepada para korban
Menurut statistik yang disusun oleh Bitdefender, Februari 2025 adalah bulan terburuk untuk ransomware dalam sejarah, mencapai rekor 962 korban, naik dari 425 korban pada Februari 2024. Dari 962 korban, 335 telah diklaim oleh kelompok CL0P RAAS.
Tren penting lainnya adalah peningkatan serangan enkripsi jarak jauh, di mana penyerang ransomware mengkompromikan titik akhir yang tidak dikelola, dan meningkatkan bahwa akses ke data mengenkripsi pada mesin yang dikelola, domain.
Data telemetri yang dibagikan oleh Sophos mengungkapkan bahwa telah terjadi lonjakan enkripsi jarak jauh sebesar 50% tahun-ke-tahun pada tahun 2024, dan kenaikan 141% sejak 2022.
“Enkripsi jarak jauh kini telah menjadi bagian standar dari tas trik ransomware grup,” kata Chester Wisniewski, Direktur dan Global Field Ciso di Sophos. “Setiap organisasi memiliki titik buta dan penjahat ransomware dengan cepat mengeksploitasi kelemahan yang pernah ditemukan.”
“Semakin banyak penjahat mencari sudut -sudut gelap ini dan menggunakannya sebagai kamuflase. Bisnis harus hipervigilant dalam memastikan visibilitas di seluruh tanah mereka dan secara aktif memantau aktivitas file yang mencurigakan.”
