Một chiến dịch mã độc ransomware mới với tên gọi VanHelsing đã xuất hiện, nhanh chóng trở thành một mối đe dọa đáng kể trong bối cảnh tội phạm mạng. Hoạt động này được ghi nhận lần đầu vào ngày 7 tháng 3 năm 2025 bởi Picus Security, vận hành theo mô hình Ransomware-as-a-Service (RaaS).

VanHelsing cung cấp khả năng phá hoại của mình dưới dạng dịch vụ cấp phép cho các đối tượng đe dọa liên kết. Sự mở rộng nhanh chóng của nó trên nhiều nền tảng cơ sở hạ tầng khác nhau cho thấy tốc độ đáng báo động.

Mô Hình Hoạt Động RaaS của VanHelsing

VanHelsing hoạt động theo mô hình dựa trên đăng ký, giúp giảm đáng kể rào cản gia nhập cho các nhà khai thác ransomware tiềm năng. Các thành viên mới phải trả khoản đặt cọc 5.000 USD để truy cập các công cụ và cơ sở hạ tầng tinh vi của nền tảng.

Đổi lại, các thành viên nhận được 80% tổng số tiền chuộc thu được. Điều này tạo ra động lực tài chính mạnh mẽ để triển khai rộng rãi các cuộc tấn công. Các nhà điều hành chỉ duy trì một hạn chế hoạt động đã nêu: các thành viên bị cấm nhắm mục tiêu vào các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS).

Mô hình này đã chứng minh hiệu quả tàn khốc. Chỉ trong vòng hai tuần kể từ khi ra mắt vào ngày 7 tháng 3, chiến dịch VanHelsing đã xâm phạm thành công ít nhất ba nạn nhân đã biết. Yêu cầu tiền chuộc được báo cáo đạt 500.000 USD trong một cuộc đàm phán duy nhất.

Thành công nhanh chóng này cho thấy nền tảng đã thu hút sự tham gia đáng kể của các thành viên. Nó cũng chứng minh tiềm năng mở rộng quy mô của mô hình kinh doanh RaaS.

Khả Năng Đa Nền Tảng và Mục Tiêu Mở Rộng của Mã Độc Ransomware

Điều làm cho VanHelsing khác biệt so với nhiều hoạt động ransomware cạnh tranh là khả năng hỗ trợ đa nền tảng chưa từng có. Mã độc ransomware này không chỉ nhắm mục tiêu vào các hệ thống Windows truyền thống. Nó còn tấn công Linux, BSD, kiến trúc ARM và các nền tảng ảo hóa VMware ESXi.

Khả năng nhắm mục tiêu rộng rãi này mở rộng đáng kể nhóm nạn nhân tiềm năng. Nó cũng đại diện cho sự tinh vi đáng kể trong hoạt động. Các thành viên truy cập một bảng điều khiển trực quan để quản lý các chiến dịch của họ. Điều này cho phép triển khai nhanh chóng mà không yêu cầu chuyên môn kỹ thuật sâu.

Sự dân chủ hóa các khả năng ransomware này là một xu hướng đáng lo ngại trong bối cảnh mối đe dọa đang phát triển.

Phân Tích Kỹ Thuật Sâu về VanHelsing

Kiến trúc và Phương thức Mã hóa

Phân tích binary của VanHelsing cho thấy một ứng dụng C++ được thiết kế rất kỹ lưỡng và đang trải qua quá trình phát triển lặp lại nhanh chóng. Hai biến thể được biên dịch chỉ cách nhau năm ngày đã thể hiện những cập nhật và cải tiến kỹ thuật đáng kể. Điều này cho thấy các nhà phát triển đang tích cực theo dõi phản hồi triển khai thực tế và nâng cao khả năng phù hợp.

Ransomware này sử dụng một sơ đồ mã hóa hybrid hiện đại. Nó kết hợp thuật toán đường cong Elliptic Curve25519 với mã hóa luồng ChaCha20. Mỗi tệp được mã hóa bằng các khóa tạm thời (ephemeral keys) và nonces được tạo ngẫu nhiên. Các khóa và nonces này sau đó được mã hóa bằng khóa công khai (public key) được mã hóa cứng của nhà điều hành, đảm bảo chỉ họ mới có thể thực hiện giải mã.

Tối Ưu Hóa Hiệu Suất và Lẩn Tránh Phát Hiện

Các tối ưu hóa hiệu suất cho thấy sự cân nhắc đối với môi trường doanh nghiệp. Các tệp vượt quá 1 GB chỉ bị mã hóa một phần, với 30% đầu tiên được mã hóa. Chiến lược này giúp tăng tốc độ triển khai trên các máy chủ cơ sở dữ liệu và kho lưu trữ tệp lớn. Đồng thời, nó vẫn duy trì tác động gây gián đoạn đáng kể.

VanHelsing tích hợp các kỹ thuật chống phân tích pháp y tinh vi. Chúng bao gồm việc xóa có hệ thống các bản sao bóng ổ đĩa (Windows Volume Shadow Copies) thông qua các truy vấn WMI. Kỹ thuật này loại bỏ một trong những phương tiện phục hồi chính cho các nhà bảo vệ.

Ransomware cũng có chế độ “Silent” được thiết kế để né tránh các hệ thống phát hiện và phản hồi điểm cuối (EDR). Nó thực hiện điều này bằng cách chia quá trình mã hóa và đổi tên tệp thành các giai đoạn hoạt động riêng biệt.

Khả Năng Lây Lan Mạng

Khả năng lây lan qua mạng cho phép di chuyển ngang qua các chia sẻ SMB và môi trường vCenter. Khi được triển khai với tham số --spread-smb, ransomware sẽ thả các binary psexec.exe nhúng và thực thi từ xa các bản sao trên mạng, tạo điều kiện thuận lợi cho việc xâm nhập toàn bộ cơ sở hạ tầng.

vanhelsing.exe --target <IP_Address> --spread-smb

Lệnh trên minh họa cách mã độc ransomware này có thể được kích hoạt để lây lan qua SMB. Các tổ chức có thể tìm hiểu thêm về phân tích chuyên sâu của Picus Security tại VanHelsing Multi-Platform RaaS Analysis.

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro Bảo Mật

Sự xuất hiện của VanHelsing nhấn mạnh sự tiến hóa và chuyên nghiệp hóa liên tục của các hoạt động ransomware. Các tổ chức phải ưu tiên các chiến lược sao lưu ngoại tuyến (offline backup). Đồng thời, việc triển khai phân đoạn mạng mạnh mẽ và giám sát hành vi cũng là cần thiết. Đặc biệt, cần chú ý đến việc xóa shadow copy, các truy vấn WMI đáng ngờ và các mẫu lưu lượng SMB bất thường.

Kiểm thử xác thực bảo mật kịp thời thông qua thử nghiệm tấn công mô phỏng có thể xác minh hiệu quả phòng thủ chống lại mối đe dọa mới nổi này. Thực hiện các cuộc kiểm tra này trước khi đối mặt với nó trong hoạt động thực tế là một bước đi chiến lược quan trọng để củng cố an ninh mạng.