Программа-вымогатель VanHelsing и новые горизонты киберугроз: обзор отчета CYFIRMA за март 2025 года

В цифровом ландшафте 2025 года киберугрозы развиваются быстрее, чем когда-либо. Каждую неделю появляются новые формы вредоносного программного обеспечения, растет число утечек данных и активизируются преступные хакерские группы. В этом контексте еженедельные разведывательные отчёты от аналитических центров кибербезопасности становятся важнейшим источником актуальной информации. Один из таких документов — отчёт CYFIRMA от 21 марта 2025 года — представляет собой концентрированный анализ последних угроз, включая детальное описание новой программы-вымогателя под названием VanHelsing. Эта статья предоставляет глубокий обзор отчёта и анализирует его значение для защиты организаций.

Основная часть

1. VanHelsing: новая волна программ-вымогателей

В центре внимания отчета — вредоносное ПО VanHelsing, предназначенное для атак на операционные системы Microsoft Windows. Оно использует тактику двойного вымогательства: сначала шифрует файлы на устройстве жертвы, а затем угрожает опубликовать похищенные данные, если выкуп не будет выплачен.

Технические характеристики атаки:

• Расширение файлов: все зашифрованные файлы получают суффикс .vanhelsing.
• Файл с требованиями: “README.txt” размещается в директориях жертвы.
• Визуальный эффект: меняется фон рабочего стола, напоминая о компрометации.

Эти действия создают психологическое давление и вынуждают пострадавших к взаимодействию с атакующими.

2. Тактики, техники и процедуры (TTP) по MITRE ATT&CK

VanHelsing задействует множество техник, зафиксированных в фреймворке MITRE ATT&CK, демонстрируя высокий уровень сложности:

Выполнение

• Использование WMI (T1047), Task Scheduler (T1053) и командных оболочек (T1059) для запуска кода.

Повышение привилегий и устойчивость

• Process Injection (T1055), манипуляции с реестром и создание автозагрузок.

Избежание обнаружения

• Удаление журналов, скрытие файлов и использование нестандартных папок.

Доступ к учётным данным

• Dumping credentials из памяти ОС (T1003).

Командование и контроль

• Коммуникация через прокси-серверы и стандартные веб-протоколы (T1071, T1090).

Воздействие

• Удаление теневых копий, блокировка восстановления (T1490), шифрование данных (T1486).

Такая архитектура делает VanHelsing особенно опасным, поскольку она затрудняет обнаружение и реагирование со стороны защитных систем.

3. Киберпреступность и утечки данных: пример из Индонезии

Кроме VanHelsing, отчёт CYFIRMA указывает на серьёзную утечку данных в кооперативе телекоммуникаций KOPTEL (Индонезия). На подпольных форумах предлагается база данных сайта и исходный код, что указывает на компрометацию внутренней ИТ-инфраструктуры.

Это подтверждает тренд: коммерческая и государственная инфраструктура в Юго-Восточной Азии становится всё более частой мишенью для киберпреступников.

Заключение

Отчёт CYFIRMA от 21 марта 2025 года служит тревожным сигналом: программы-вымогатели становятся всё более целевыми и сложными, используют множество техник маскировки и устойчивости, а также интегрируются в сложную инфраструктуру. VanHelsing — лишь один пример из множества новых угроз.

Параллельно с ростом числа атак наблюдаются масштабные утечки данных, особенно в странах с развивающейся ИТ-инфраструктурой. Всё это требует от организаций новой стратегии кибербезопасности: не только реактивной, но и проактивной.

Рекомендации

1. Внедрение многоуровневой защиты: антивирусы нового поколения, EDR, поведенческий анализ.
2. Периодические резервные копии и проверка на возможность восстановления без подключения к сети.
3. Обновление систем безопасности и операционных систем, закрытие уязвимостей.
4. Мониторинг даркнета и угроз в реальном времени.
5. Обучение персонала: усиление внимания к фишингу и социальной инженерии.

Список источников

• CYFIRMA. Weekly Intelligence Report – 21 March 2025. cyfirma.com
• MITRE ATT&CK Framework. https://attack.mitre.org
• NCSC Ransomware Guidance. https://www.ncsc.gov.uk

Author: admin