一种名为 VanHelsingRaaS 的新型且快速演变的勒索软件即服务（RaaS）运作模式，已在网络犯罪领域中出现。

该勒索软件于 2025 年 3 月 7 日推出，这一复杂的威胁在不到两周的时间里就已致使三名受害者中招，攻击者要求受害者向比特币钱包支付 50 万美元的赎金。

这种运作模式允许附属成员以 5000 美元的押金加入，附属成员可获得赎金支付的 80%，而核心运营者则保留 20%。

VanHelsingRaaS 通过将攻击目标从 Windows 系统扩展到包括 Linux、BSD、ARM 和 ESXi 系统等多个平台而崭露头角。

这种跨平台的能力极大地增强了其在企业环境中的潜在威胁。

该服务为附属成员提供了一个直观的控制面板，简化了勒索软件攻击的执行过程，降低了网络犯罪分子的技术门槛。

Check Point 的研究人员检测到了 VanHelsingRaaS 勒索软件的两个变种，它们的编译时间仅相隔五天，这显示出该运作模式的快速开发周期。

分析表明，不同版本之间有显著的更新，凸显了恶意软件开发者不断提升其威胁能力的决心。

该勒索软件即服务运营者施加的唯一操作限制是禁止攻击独联体（CIS）国家内的系统，这在俄罗斯相关的网络犯罪活动中是一种常见做法。

该勒索软件采用了复杂的加密技术，在代码中嵌入了 Curve 25519 公钥。

对于每个加密文件，它会生成两个随机的临时值（32 字节和 12 字节），用作 ChaCha20 算法加密的密钥和随机数。

文件在加密后会被重命名，后缀为.vanhelsing，并且每个文件夹中都会放置一份勒索赎金通知。

静默模式：躲避检测

VanHelsingRaaS 一个特别值得关注的功能是其 “静默” 模式的实现，该模式可通过 “–Silent” 命令行参数激活。

这种模式将恶意软件的功能分为两个不同的阶段，以躲避检测系统。

在正常操作中，勒索软件会枚举文件夹、识别文件、对其进行加密，并立即将文件名重命名为.vanhelsing 后缀。然而，在静默模式下运行时，它会暂时跳过文件重命名这一步骤。

实现这种躲避技术的代码尤其值得注意：

if (!flag_silent_564DB0) {

formatString_40B0A0((char *)new_filepath, 0x1860, (const char *)L”%s.vanhelsing”, *filepath);

if (!MoveFileExN(*filepath, new_filepath, 3u)) {

LastError = GetLastError();

}}

在静默模式下所有文件都被加密后，勒索软件会进行第二次操作，而这次仅用于重命名文件。

这种两阶段的方法有助于躲避行为检测系统，因为这些系统可能会将同时进行的加密和重命名活动标记为勒索软件行为的迹象。

随着 VanHelsingRaaS 的持续演变，安全专业人员必须对这一复杂且迅速蔓延的威胁保持警惕。