A equipe de pesquisa e consultoria da CYFIRMA identificou uma nova cepa de ransomware chamada VanHelsing, que está sendo disseminada por meio de fóruns clandestinos. Esse ransomware criptografa arquivos e exige resgate para a descriptografia, além de utilizar uma estratégia de extorsão dupla, ameaçando vazar os dados roubados para pressionar as vítimas a pagar.
Leia também
Polícia prende 306 por cibercrimes na África
Correio entrega cartas com ameaça de ransomware
O VanHelsing tem como alvo o sistema operacional Windows e já foi observado atacando setores governamentais, de manufatura e farmacêuticos nos EUA e na França. Quando executado, ele adiciona a extensão “.vanhelsing” aos arquivos criptografados, altera o papel de parede da área de trabalho e insere uma nota de resgate chamada “README.txt” no sistema da vítima.
O ransomware apresenta mecanismos avançados para evitar a detecção e dificultar sua análise. Ele verifica se está rodando em um ambiente de depuração, uma tática usada para evitar que pesquisadores analisem seu comportamento. Além disso, faz chamadas para a estrutura Windows Management Instrumentation (WMI), uma ferramenta legítima do Windows que pode ser explorada para executar comandos e modificar sistemas. Também manipula chaves de registro para garantir persistência, executando-se silenciosamente no sistema comprometido.
A CYFIRMA alertou que o VanHelsing pode expandir seus alvos para setores críticos, como finanças e saúde, aumentando o risco globalmente. Para mitigar a ameaça, a empresa recomenda que organizações implementem protocolos de segurança robustos, reforcem o uso de autenticação multifator (MFA), mantenham backups regulares, adotem uma arquitetura zero-trust e invistam em treinamento de segurança cibernética para funcionários. Além disso, é essencial manter softwares e sistemas sempre atualizados com os últimos patches de segurança e utilizar ferramentas de detecção e monitoramento, como regras Sigma para identificação de atividades suspeitas.
A preocupação com ataques de ransomware tem aumentado, especialmente no setor de manufatura. A empresa de segurança Dragos relatou um aumento de 60% nos ataques direcionados a tecnologia operacional (OT) e sistemas de controle industrial (ICS) em 2024. O setor de manufatura foi o mais afetado, representando mais de 50% dos ataques, com 1.171 incidentes registrados em 26 subsetores distintos. Isso reforça a necessidade de defesas cibernéticas robustas para proteger infraestruturas críticas e minimizar os impactos de ataques desse tipo.
