El ransomware VanHelsing, una amenaza emergente en el panorama de la ciberseguridad, ha captado la atención por su modelo de negocio como servicio (RaaS) y su capacidad para atacar múltiples plataformas. Desde su aparición en marzo de 2025, ha demostrado ser una herramienta sofisticada y peligrosa para las organizaciones en América y Europa.
¿Qué es el ransomware VanHelsing?
VanHelsing es una operación de ransomware-as-a-service (RaaS) lanzada el 7 de marzo de 2025. Permite a ciberdelincuentes, conocidos como afiliados, utilizar su infraestructura para llevar a cabo ataques. Los afiliados deben pagar un depósito de $5,000 USD para unirse, recibiendo el 80% de los rescates obtenidos, mientras que los operadores de VanHelsing retienen el 20% restante .
Características técnicas destacadas:
Multiplataforma: Compatible con sistemas Windows, Linux, BSD, ARM y VMware ESXi, ampliando su alcance a diversas infraestructuras .
Lenguaje de programación: Desarrollado en C++, con variantes que muestran una rápida evolución y sofisticación .
Tácticas de evasión: Utiliza técnicas como la eliminación de copias de seguridad (shadow copies), ejecución de scripts PowerShell y consultas WMI para evitar la detección .
Persistencia: Emplea métodos como bootkits y servicios de Windows para mantenerse activo incluso después de reinicios del sistema .
Mecanismo de ataque:
Infección inicial: A través de correos electrónicos de phishing, descargas maliciosas o vulnerabilidades explotadas.
Cifrado de archivos: Los archivos afectados reciben la extensión .vanhelsing o .vanlocker.
Nota de rescate: Se genera un archivo README.txt en cada carpeta afectada, informando sobre el cifrado y exigiendo un rescate en Bitcoin.
Extorsión doble: Además del cifrado, se amenaza con la publicación de datos sensibles si no se paga el rescate .
Sectores y regiones afectadas:
VanHelsing ha dirigido sus ataques principalmente a:
- Sectores: Gobierno, manufactura, farmacéutico, salud y tecnología.
- Regiones: Estados Unidos, Francia, Australia, Italia y Chile .
Cabe destacar que los operadores de VanHelsing prohíben explícitamente ataques a países de la Comunidad de Estados Independientes (CIS), posiblemente para evitar represalias legales o políticas .
Recomendaciones de seguridad:
Para mitigar el riesgo de infección por VanHelsing, se recomienda:
- Copias de seguridad: Realizar respaldos periódicos y almacenarlos fuera de línea.
- Actualizaciones: Mantener sistemas y aplicaciones actualizados con los últimos parches de seguridad.
- Autenticación multifactor (MFA): Implementar MFA en todos los accesos, especialmente en cuentas privilegiadas.
- Educación: Capacitar al personal sobre prácticas seguras y concienciación en ciberseguridad.
- Monitoreo: Utilizar herramientas de detección y respuesta ante amenazas para identificar actividades sospechosas.
El ransomware VanHelsing representa una amenaza significativa debido a su modelo RaaS, capacidades técnicas avanzadas y enfoque en sectores críticos. Las organizaciones deben adoptar una postura proactiva en ciberseguridad, implementando medidas preventivas y de respuesta para proteger sus activos y datos sensibles.