Ransomware-as-a-Service: VanHelsing geht umEin Mietmodell für Profis und Anfänger
27. März 2025
Mit VanHelsing haben die Sicherheitsforscher von Checkpoint zwei Varianten von Ransomware-as-a-Service entdeckt. Dieses Mietmodell richtet sich an Profis und Anfänger. Innerhalb von zwei Wochen gab es bereits drei bekanntgewordene Opfer, die zu 500.000 Dollar Lösegeld aufgefordert wurden.
Gestartet wurde die neue Ransomware bereits am 7. März 2025. Entdeckt haben Sicherheitsforscher zwei Varianten am 16. März, wobei die erste Variante am 16. März aktualisiert wurde, während die zweite Variante am 11. März kompiliert worden ist. Beide sind im Einsatz und haben in nur zwei Wochen bereits drei bekannte Opfer gefordert.
Dabei ist VanHelsing ist nicht zurückhaltend: 500.000 Dollar als Lösegeld werden verlangt, damit ein Opfer seine Daten entschlüsseln kann und die Zusage erhält, dass die Hacker alle Daten, die sie zudem gestohlen haben, löschen werden. Die Summe muss in Bitcoin bezahlt werden, auf eine von den Cyber-Kriminellen bestimmte Wallet.
Die Lösegeldforderung wird in einer README.txt-Datei bekannt gegeben und besagt, dass personenbezogene Datensätze, Finanzdaten und kritische Dokumente verschlüsselt wurden und der Einsatz von Programmen dritter Parteien zur Entschlüsselung zu dauerhaftem Datenverlust führen wird. Daneben befinden sich genaue Anweisung zur Zahlung.
Das Mietmodell erfolgt dabei auf zweierlei Weise: In der Hacker-Welt renommierte Anwender können kostenlos Mieter werden, während Neulinge 5.000 Dollar für den Zugang bezahlen müssen. Bei der Prämie ist es dann einheitlich: Nach zwei Blockchain-Bestätigungen, dass die Lösegeldzahlung in Bitcoin erfolgt ist, erhalten die Mieter 80 Prozent davon, während 20 Prozent an die Entwickler gehen. Die Mieter erhalten außerdem eine einfach zu bedienende Konsole, um ihre Attacken zu lenken, sowie die Ransomware VanHelsing, die viele verschiedene Betriebssysteme attackieren kann, darunter Microsoft Windows, Linux, BSD, ARM und ESXi.
Check Points Sicherheitsforscher weisen außerdem daraufhin, dass es eine streng zu befolgende Regel für die Mieter gibt: Es dürfen keine Systeme in der Gemeinschaft unabhängiger Staaten (GUS) angegriffen werden, was typisch sei für russische Cyber-Kriminelle. Der GUS gehören derzeit an: Armenien, Aserbaidschan, Weißrussland, Kasachstan, Kirgistan, Russland, Tadschikistan, Turkmenistan (beigeordnetes Mitglied) und Usbekistan. (rhh)
