マルチプラットフォームに対応した新型ランサムウェア「VanHelsing」が登場し、Windows、Linux、BSD、ARM、ESXiなど多岐にわたるシステムを標的としている。運営はロシアの犯罪集団とされ、CIS諸国を対象外とすることから、その出自に信ぴょう性があるとみられる。

3月7日に地下フォーラムで告知され、経験者には無償で、初心者には5,000ドルの保証金を課す方式でアフィリエイトを募っている。支払いはブロックチェーン上の自動エスクローを通じて行われ、被害者から盗まれたデータは運営サーバーに保存されている。

すでに米国とフランスで3件の被害が確認され、うち1件はテキサス州の市役所とされる。コードに未成熟な点はあるものの、セキュリティ回避技術と高度な暗号化処理を備えており、今後の拡散に強い警戒が必要とされる。

ロシア発の犯罪基盤と展開方式 VanHelsingの構造に見る新潮流

VanHelsingは、ランサムウェア・アズ・ア・サービス(RaaS)モデルを採用し、経験の浅い攻撃者からは5,000ドルの保証金を徴収する一方で、熟練者には無償で参加を許可するという二層構造をとっている。

アフィリエイトは身代金の80%を取得し、残る20%を運営側が受け取る形で利益分配が設定されている。支払いはブロックチェーンを活用した自動エスクローシステムで行われ、攻撃後の金銭回収も効率化されている。

この構造は、参加者の質を管理しながら、運営の責任を分散させる巧妙な設計であり、従来の単一型ランサムウェアと比較して遥かに柔軟かつ拡張性が高い。

加えて、ロシアのサイバー犯罪ネットワークが関与しているとされ、CIS諸国のシステムを標的から除外している点が、その出自と利害関係を示唆している。国境を越えた標的選定とアフィリエイトの活用により、今後模倣犯や類似モデルの出現が加速するおそれがある。

多層化する攻撃手法 ステルスモードと暗号処理の高度化

VanHelsingは、C++で開発された実行ファイルとして3月16日に初めて確認され、ChaCha20アルゴリズムを用いたファイル暗号化機構を有している。

各ファイルごとに32バイトの対称鍵と12バイトのノンスが生成され、それらがCurve25519公開鍵によって暗号化されることで、復号困難な構造が成立している。1GB超のファイルについては部分的な暗号化を行うなど、負荷と速度の最適化も図られている。

また、2段階のステルスモードにより、暗号化処理とファイル名変更を意図的に分離することで、セキュリティ製品の検出を回避する設計が施されている。

仮に途中で検知されたとしても、暗号化は既に完了しているため被害は避けられない。こうした仕組みは、従来のランサムウェアに比べて極めて高度な戦術といえ、法人組織が保有する機密ファイルが狙われる際、被害の発覚が遅れる危険性をはらんでいる。

技術的未成熟と今後の拡大懸念 脆さと強さが同居する脅威

Check Pointの分析によれば、VanHelsingにはファイル拡張子処理の不整合や除外リストのロジック誤りなど、初期段階のランサムウェアに見られる典型的な未完成性が残存している。また、実装されていないコマンドラインフラグの存在も確認されており、開発途上であることを裏付けている。こうした技術的欠陥は、運用ミスや二重暗号化といった想定外の事象を引き起こす可能性を持つ。

しかしながら、その構造や運用体制の整備状況、迅速な被害実績の発生などからは、極めて高い拡張性と脅威性が読み取れる。既に米国とフランスの3組織が被害に遭っており、うち1件はテキサス州の市役所であった。要求金額は50万ドルとされており、標的は財政的な余力のある団体に絞られている印象がある。

技術的未熟さにもかかわらず、実被害を伴っていること自体が、今後の広範な拡散を警戒すべき根拠となる。

Source:BleepingComputer