Una operación de ransomware como servicio (RAAS) llamada Vanhelsing Ya ha reclamado tres víctimas desde que se lanzó el 7 de marzo de 2025.
«El modelo RAAS permite que una amplia gama de participantes, desde piratas informáticos experimentados hasta recién llegados, se involucre con un depósito de $ 5,000. Los afiliados mantienen el 80% de los pagos de rescate, mientras que los operadores principales ganan un 20%», dijo Check Point en un informe publicado durante el fin de semana. «
«La única regla no es apuntar a la Commonwealth de los Estados Independientes (CIS)».
Al igual que con cualquier programa de ransomware respaldado por afiliados, Vanhelsing afirma ofrecer la capacidad de dirigir una amplia gama de sistemas operativos, incluidos Windows, Linux, BSD, ARM y ESXI. También emplea lo que se llama el modelo de doble extorsión de robo de datos antes del cifrado y amenazando con filtrar la información a menos que la víctima paga.
Los operadores de RAAS también han revelado que el esquema ofrece un panel de control que funciona «sin problemas» en dispositivos de escritorio y móviles, incluso con soporte para el modo oscuro.
Lo que hace que Vanhelsing sea notable es que permite que los afiliados de buena reputación se unan de forma gratuita, mientras que se requieren que los nuevos afiliados paguen un depósito de $ 5,000 para obtener acceso al programa.
Una vez lanzado, el ransomware basado en C ++ toma medidas para eliminar copias en la sombra, enumerar las unidades locales y de red, y cifrar archivos con la extensión «.vanhelsing», después de lo cual se modifica el papel tapiz de escritorio, y se cae una nota de rescate en el sistema de víctimas, instándolos a hacer un pago de bitcoin.
También admite varios argumentos de línea de comandos para dictar varios aspectos del comportamiento del ransomware, como el modo de cifrado que se utilizará, las ubicaciones que deben estar encriptadas, difundir el casillero a los servidores SMB y omitir el nombre de los archivos con la extensión de ransomware en el modo «silencioso».
Según Cyfirma, el gobierno, la fabricación y las compañías farmacéuticas ubicadas en Francia y Estados Unidos se han convertido en los objetivos de la operación de ransomware naciente.
«Con un panel de control fácilmente fácil de usar y actualizaciones frecuentes, Vanhelsing se está convirtiendo en una herramienta poderosa para los cibercriminales», dijo Check Point. Dentro de las dos semanas de su lanzamiento, ya ha causado daños significativos, infectando a múltiples víctimas y exigiendo fuertes rescates.
La aparición de Vanhelsing coincide con una serie de desarrollos en el panorama de ransomware –
- El descubrimiento de nuevas versiones de Ransomware Albabat que van más allá de Windows a Linux y MacOS, la recopilación del sistema y la información de hardware
- Blacklock Ransomware, una versión renombrada de Eldorado, se ha convertido en uno de los grupos RAAS más activos en 2025, dirigido a la tecnología, fabricación, construcción, finanzas y sectores minoristas
- Blacklock está reclutando activamente a los traficantes para impulsar las primeras etapas de los ataques de ransomware, lo que dirige a las víctimas a páginas maliciosas que implementan malware capaz de establecer el acceso inicial a los sistemas comprometidos
- El marco de malware basado en JavaScript conocido como Socgholish (también conocido como FakeUpdates) se está utilizando para entregar ransomware RansomHub, una actividad atribuida a un clúster de amenaza denominado Water Scylla
- La explotación de fallas de seguridad en los electrodomésticos de firewall de Fortinet (CVE-2024-55591 y CVE-2025-24472) por un actor de amenaza denominado Mora_001 desde finales de enero de 2025 para entregar una recién descubierta Suplana Superblack de tensión de tensión de ransomware, una versión modificada de Lockbit 3.0 que utiliza una herramienta de exfiltación de exfiltación personalizada de ransomware
- El grupo de ransomware BABUK2 (también conocido como Babuk-Bjorka) se ha observado que reutilizan datos de violaciones anteriores asociadas con Ransomhub, Funksec, Lockbit y Babuk para emitir demandas falsas de extorsión a las víctimas
Según las estadísticas compiladas por Bitdefender, febrero de 2025 fue el peor mes para el ransomware en la historia, alcanzando un récord de 962 víctimas, frente a 425 víctimas en febrero de 2024. De las 962 víctimas, 335 han sido reclamados por el Grupo RAAS CL0P.
Otra tendencia notable es el aumento de los ataques remotos de cifrado, en el que los atacantes de ransomware comprometen un punto final no administrado y aprovechan el acceso a los datos de cifrado en las máquinas administradas y unidas por dominio.
Los datos de telemetría compartidos por Sophos revelan que ha habido un aumento en el cifrado remoto en un 50% interanual en 2024, y un aumento del 141% desde 2022.
«El cifrado remoto ahora se ha convertido en una parte estándar de la bolsa de trucos de los grupos de ransomware», dijo Chester Wisniewski, director y CISO de campo global en Sophos. «Cada organización tiene puntos ciegos y los delincuentes de ransomware se apresuran a explotar las debilidades una vez descubiertas».
«Cada vez más, los delincuentes buscan estas esquinas oscuras y las usan como camuflaje. Las empresas deben ser hipervigilantes para garantizar la visibilidad en todo su patrimonio y monitorear activamente cualquier actividad de archivo sospechoso».