{"id":2478,"date":"2025-03-25T14:24:17","date_gmt":"2025-03-25T14:24:17","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2478"},"modified":"2025-03-25T14:24:17","modified_gmt":"2025-03-25T14:24:17","slug":"neue-vanhelsing-ransomware-breitet-sich-rasant-aus","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2478","title":{"rendered":"Neue VanHelsing-Ransomware breitet sich rasant aus"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\"> width=&#8221;3200&#8243; height=&#8221;1800&#8243; sizes=&#8221;(max-width: 3200px) 100vw, 3200px&#8221;&gt;Das neue Ransomware-Programm VanHelsing zielt auf Windows-, Linux-, BSD-, ARM- und ESXi-Systeme.\n<p class=\"imageCredit\">Andrey_Popov \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Das neue RaaS-Projekt namens VanHelsing wurde erstmals am16. M\u00e4rz von Forschern von <a href=\"https:\/\/www.cyfirma.com\/research\/vanhelsing-ransomware\/\">CYFIRMA<\/a> entdeckt, als Angreifer es f\u00fcr Verschl\u00fcsselung und doppelte Erpressung nutzten. Da es f\u00fcr Ziele der Gemeinschaft Unabh\u00e4ngiger Staaten (GUS) verboten ist, gehen die Security-Spezialisten davon aus, dass die Hinterm\u00e4nner aus Russland stammen.<\/p>\n<p>\u201eNach der Ausf\u00fchrung f\u00fcgt VanHelsing die Erweiterung \u201e.vanhelsing\u201c an die verschl\u00fcsselten Dateien an, ver\u00e4ndert das Desktop-Hintergrundbild und legt eine L\u00f6segeldnotiz namens \u201eREADME.TXT\u201c auf dem System des Opfers ab\u201c, erkl\u00e4ren die Sicherheitsforscher.<\/p>\n<p>Eines der Opfer von VanHelsing wurde Berichten zufolge aufgefordert, 500.000 Dollar an eine bestimmte Bitcoin-Wallet zu zahlen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Ein plattform\u00fcbergreifendes RaaS-Projekt<\/strong><\/h2>\n<p>Laut CYFIRMA hat es VanHelsing vor allem auf Windows-Anwender abgesehen. \u201eDie Ransomware zielt auf Windows-Systeme ab. Sie setzt fortschrittliche Verschl\u00fcsselungstechniken ein und h\u00e4ngt eine eindeutige Dateierweiterung an kompromittierte Dateien an\u201c, hei\u00dft es im Forschungsbericht.<\/p>\n<p>Ein paar Tage sp\u00e4ter stellte der Security-Anbieter <a href=\"https:\/\/research.checkpoint.com\/2025\/vanhelsing-new-raas-in-town\/\">Check Point<\/a> jedoch fest, dass im Darknet plattform\u00fcbergreifende VanHelsing-Programme angeboten werden. Darunter Varianten f\u00fcr Linux-, BSD-, ARM- und ESXi-Systeme.<\/p>\n<p>\u201eDas RaaS-Programm bietet ein intuitives Kontrollpanel f\u00fcr vereinfachte Ransomware-Operationen\u201c, so Check Point weiter. Neuere der beiden von Check Point analysierten Varianten \u2013 die im Abstand von f\u00fcnf Tagen erstellt wurden \u2013 zeigten \u201esignifikante Updates\u201c, was auf eine sich schnell entwickelnde Ransomware hindeutet.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Ausgekl\u00fcgeltes Partnerprogramm<\/strong><\/h2>\n<p>VanHelsing ist eine raffinierte, in C++ geschriebene Ransomware, die, basierend auf dem von Check Point beobachteten Kompilierungszeitstempel, ihr erstes Opfer am selben Tag forderte, an dem sie von CYFIRMA entdeckt wurde.<\/p>\n<p>\u201eDie Ransomware akzeptiert mehrere Befehlszeilen, die den Verschl\u00fcsselungsprozess steuern, zum Beispiel je nachdem, ob Netzwerk- und lokale Laufwerke oder bestimmte Verzeichnisse und Dateien verschl\u00fcsselt werden sollen\u201c, so Check Point weiter.<\/p>\n<p>Dar\u00fcber hinaus bietet das RaaS laut VanHelsings Werbe-Screenshot, der im Check Point-Blogpost ver\u00f6ffentlicht wurde, weitere Affiliate-freundliche Funktionen wie Verschl\u00fcsselungskontrolle, Verschl\u00fcsselungsmodi, Selbstverbreitung und Debugging.<\/p>\n<p>W\u00e4hrend neue Interessenten demnach eine Anzahlung von 5.000 Dollar leisten m\u00fcssen, um Zugang zum Programm zu erhalten, k\u00f6nnen erfahrene Affiliates kostenlos teilnehmen. \u201eNach zwei Blockchain-Best\u00e4tigungen der L\u00f6segeldzahlung des Opfers erhalten die Partner 80 Prozent der Einnahmen, w\u00e4hrend die restlichen 20 Prozent an die RaaS-Betreiber gezahlt werden\u201c, f\u00fchrt CheckPoint aus.<\/p>\n<p>Um die Opfer daran zu hindern, ihre Dateien wiederherzustellen, l\u00f6scht das RaaS-Programm alle \u201eSchattenkopien\u201c, das hei\u00dft Sicherungskopien von Dateien oder Datentr\u00e4gern, die vom Windows Volume Shadow Copy Service (VSS) erstellt wurden.<\/p>\n<p>Nach Angaben von CYFIRMA hat die Ransomware bisher Regierungs-, Produktions- und Pharmaunternehmen in den USA und Frankreich angegriffen. Die Experten raten Unternehmen, robuste Verschl\u00fcsselungs-, Authentifizierungs- und Konfigurationspraktiken zu implementieren und Backups von kritischen Systemen und Dateien zu erstellen. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>width=&#8221;3200&#8243; height=&#8221;1800&#8243; sizes=&#8221;(max-width: 3200px) 100vw, 3200px&#8221;&gt;Das neue Ransomware-Programm VanHelsing zielt auf Windows-, Linux-, BSD-, ARM- und ESXi-Systeme. Andrey_Popov \u2013 shutterstock.com Das neue RaaS-Projekt namens VanHelsing wurde erstmals am16. M\u00e4rz von Forschern von CYFIRMA entdeckt, als Angreifer es f\u00fcr Verschl\u00fcsselung und doppelte Erpressung nutzten. Da es f\u00fcr Ziele der Gemeinschaft Unabh\u00e4ngiger Staaten (GUS) verboten ist, gehen [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":2479,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2478","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2478"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2478"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2478\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2479"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2478"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2478"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2478"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}