El panorama del ransomware suma una nueva amenaza que pone en jaque la seguridad de empresas y usuarios: VanHelSing. Esta operación de ransomware como servicio (RaaS) ha surgido recientemente, destacando por su capacidad para atacar sistemas Windows, Linux, BSD, ARM y entornos virtualizados ESXi.
Lo que hace aún más inquietante a VanHelSing es su estrategia de expansión. Los ciberdelincuentes más experimentados pueden unirse gratuitamente a esta operación, mientras que aquellos con menos experiencia deben pagar un depósito de $5,000 para participar. Este modelo facilita que más actores de amenazas puedan acceder a esta peligrosa herramienta, aumentando el riesgo de ataques dirigidos.
¿Qué hace que VanHelSing sea tan peligroso? ¿Cómo puede infiltrarse en tus sistemas y qué medidas puedes tomar para protegerte? A continuación, te explicamos todo lo que necesitas saber para mantener tu información segura frente a esta creciente amenaza.
¿Qué se sabe sobre VanHelSing?
VanHelSing es un ransomware que, según los expertos, proviene de Rusia y tiene una curiosa "regla de oro": evita atacar sistemas ubicados en países de la Comunidad de Estados Independientes (CEI), un grupo de naciones exsoviéticas.
Este ransomware funciona bajo un modelo de negocio bastante claro. Los afiliados que se encargan de llevar a cabo los ataques se quedan con el 80% de los pagos del rescate, mientras que los operadores del ransomware se llevan el 20% restante. Para manejar estas transacciones, utilizan un sistema automatizado con tecnología blockchain, que requiere dos confirmaciones para garantizar que los pagos se procesen de forma segura.
Los afiliados que se suman a la operación VanHelSing obtienen acceso a un panel con herramientas totalmente automatizadas para gestionar sus ataques. Además, cuentan con soporte directo del equipo de desarrollo, lo que les facilita resolver dudas o problemas técnicos.
Los datos robados de las víctimas se almacenan directamente en los servidores controlados por la propia operación VanHelSing. Según sus operadores, estos servidores se someten a pruebas de seguridad regulares para garantizar que la información se mantenga protegida y que el sistema funcione sin fallos.
En cuanto a sus víctimas confirmadas, el portal de extorsión de VanHelSing en la dark web ya ha registrado tres casos: dos en Estados Unidos (una de ellas en una ciudad de Texas) y una en Francia, ambas empresas del sector tecnológico.
Página de extorsión de VanHelsing
Los responsables del ransomware están presionando fuerte: amenazan con publicar los archivos robados en los próximos días si no reciben el dinero que exigen. Según las investigaciones, están pidiendo un pago de 500.000 dólares como rescate.
.webp?width=1032&height=434&name=ransom-note(2).webp)
Nota de rescate de VanHelsing (Fuente: Checkpoint)
Podría interesarte leer: Protección contra Ransomware con Acronis
VanHelSing: Un ransomware sigiloso y en evolución
El ransomware VanHelSing está escrito en C++ y, según la evidencia, su primera aparición fue el 16 de marzo. Para cifrar archivos utiliza el algoritmo ChaCha20, que crea una clave simétrica de 32 bytes (256 bits) junto con un nonce de 12 bytes para cada archivo.
Después de generar estos valores, el malware los cifra usando una clave pública Curve25519 integrada en su código. Luego, la clave y el nonce cifrados se almacenan dentro del propio archivo afectado.
Para optimizar el proceso, VanHelSing cifra solo una parte de los archivos que superan el 1 GB de tamaño, mientras que en los archivos más pequeños aplica el cifrado completo.
Personalización para ataques específicos
Una de las características más preocupantes de este ransomware es su alto nivel de personalización. A través de comandos específicos (CLI), los atacantes pueden:
- Apuntar solo a unidades o carpetas seleccionadas.
- Restringir el alcance del cifrado.
- Propagarse por la red usando el protocolo SMB.
- Evitar la eliminación de copias de seguridad (shadow copies).
- Activar un modo sigiloso que dificulta la detección.
¿Cómo funciona el modo sigiloso?
En su modo estándar, VanHelSing sigue el patrón típico de ransomware: encuentra los archivos, los cifra y luego cambia su nombre agregando la extensión .vanhelsing.
Sin embargo, en el modo sigiloso, el ransomware separa el cifrado del cambio de nombre. Esto significa que el malware cifra primero todos los archivos sin modificar sus nombres, lo que hace que su actividad pase más desapercibida.
Este enfoque es particularmente peligroso porque imita el comportamiento normal del sistema, reduciendo las probabilidades de activar alertas de seguridad. Incluso si las herramientas de seguridad detectan algo durante la fase de renombrado, para ese momento ya se habrán cifrado todos los archivos afectados.
¿Es VanHelSing una amenaza sofisticada?
Aunque VanHelSing parece avanzado y diseñado para evadir defensas, los investigadores también han detectado ciertos fallos en su código que delatan que aún está en desarrollo. Algunas de estas debilidades incluyen:
- Desajustes en la extensión de los archivos.
- Errores en la lógica de exclusión, que pueden hacer que algunos archivos se cifren dos veces.
- Indicadores de línea de comandos no implementados correctamente.
A pesar de estos fallos, VanHelSing es una amenaza en crecimiento que podría ganar fuerza rápidamente. Con su capacidad para adaptarse y operar de forma sigilosa, este ransomware representa un serio riesgo para empresas y usuarios si sus desarrolladores logran pulir sus errores.
La importancia de contar con una solución de seguridad robusta
Para protegerse de amenazas como VanHelSing, es fundamental que las empresas cuenten con una solución de ciberseguridad avanzada capaz de detectar comportamientos sospechosos antes de que se produzcan daños irreparables.
TecnetProtect es una excelente alternativa en este sentido. Esta herramienta ofrece una protección integral contra ransomware, combinando detección temprana, análisis de comportamiento en tiempo real y sistemas avanzados de recuperación de datos. TecnetProtect es capaz de detener el cifrado de archivos de forma proactiva, minimizar el impacto de los ataques y garantizar la continuidad del negocio.
Invertir en una solución robusta no solo reduce el riesgo de ser víctima de ransomware, sino que también brinda la tranquilidad de saber que tu información está segura frente a las amenazas digitales más avanzadas.
