Панель управления в кармане: VanHelsing делает вымогательство максимально мобильным

На киберпреступной арене появилась новая угроза — операция VanHelsing, основанная на RaaS-модели. С момента запуска 7 марта 2025 года группировка уже заявила о трёх успешных атаках, в ходе которых требовала выкуп до 500 тысяч долларов. Благодаря гибкому подходу и широкому спектру возможностей, проект стремительно набирает популярность среди киберпреступников.

Суть RaaS-модели заключается в том, что разработчики вредоносного ПО предоставляют его в аренду, а исполнителями атак выступают так называемые аффилиаты. В случае с VanHelsing, участие стоит 5000 долларов, хотя для уже проверенных злоумышленников вход может быть бесплатным. Партнёры получают 80% суммы выкупа, остальное забирают операторы. Единственным запретом остаётся атака на страны СНГ — стандартное условие для многих подобных сервисов.

Функциональность VanHelsing охватывает широкий спектр целей: вредонос работает с Windows, Linux, BSD, Arm и ESXi. Он использует стратегию двойного вымогательства, при которой сначала крадёт данные, а затем шифрует их. Жертвам угрожают публикацией информации, если они откажутся платить.

К особенностям VanHelsing можно отнести продвинутую панель управления, доступную как на компьютере, так и на мобильных устройствах. Программа написана на C++ и сразу после запуска удаляет теневые копии, сканирует локальные и сетевые диски, а затем шифрует файлы с расширением «.vanhelsing». Обои рабочего стола меняются, а жертва получает сообщение с требованием выкупа в биткойнах.

Вредонос поддерживает использование командной строки для изменения параметров атаки. Можно задать режим шифрования, указать конкретные каталоги для обработки, настроить распространение по SMB-серверам и включить «тихий» режим, при котором имена файлов не изменяются.

По данным CYFIRMA, первыми жертвами стали правительственные, производственные и фармацевтические компании из Франции и США. Учитывая удобство интерфейса и регулярные обновления, VanHelsing уже сейчас считается мощным инструментом в руках киберпреступников, несмотря на недавний запуск.

Появление этой платформы совпало с общим ростом активности на рынке вымогателей. В частности, были обнаружены новые версии Albabat, теперь поражающие не только Windows, но и Linux с macOS. Они собирают системную информацию и характеристики оборудования.

Также зафиксировано усиление деятельности группировки BlackLock, которая ранее была известна как Eldorado. В 2025 году она стала одной из наиболее активных, атакуя технологические, строительные, финансовые и розничные компании. Группировка активно набирает так называемых трафферов — тех, кто заманивает жертв на вредоносные сайты, где устанавливаются инструменты начального доступа.

Всё чаще кибератаки превращаются не в дело узких специалистов, а в массовую услугу с понятным интерфейсом, гибкими условиями и чётким распределением прибыли. Такие модели, как VanHelsing, стирают грань между организованной киберпреступностью и обычными желающими заработать на чужих слабостях.

Простота участия, автоматизация процессов и высокая доходность делают рынок вымогателей всё более привлекательным, одновременно усложняя защиту: теперь угроза исходит не от отдельных групп, а от целой экосистемы, где каждый может стать атакующим.