El nuevo ransomware VanHelsing ha irrumpido en la escena del cibercrimen, destacándose como uno de los programas de ransomware-as-a-service (RaaS) más sofisticados y peligrosos de los últimos tiempos. Con su aparición en foros clandestinos el 7 de marzo de 2025, esta amenaza ha evolucionado rápidamente, ya infectando varias organizaciones y exigiendo rescates exorbitantes.
Este ransomware está diseñado para maximizar su alcance y efectividad, permitiendo que ciberdelincuentes con poca experiencia puedan desplegar ataques con facilidad. Además, incluye técnicas avanzadas de evasión que dificultan su detección por parte de las soluciones de seguridad convencionales.
Funcionamiento del modelo VanHelsing RaaS
VanHelsing sigue el modelo de ransomware-as-a-service, lo que significa que los desarrolladores del malware crean la infraestructura y los afiliados pueden comprar acceso para lanzar ataques. Los afiliados deben pagar un depósito de $5,000 para unirse al programa, aunque los hackers más experimentados pueden acceder de forma gratuita. Si quieres saber más sobre la eliminación de ransomware, puedes consultar las mejores herramientas para eliminar ransomware.
El reparto de ganancias es atractivo para los atacantes: los afiliados conservan el 80% del dinero obtenido de los rescates, mientras que los operadores del ransomware se quedan con el 20%. Los pagos se realizan a través de transacciones en Bitcoin usando un sistema de confirmaciones en la blockchain para garantizar la seguridad de ambos lados.
Capacidades técnicas de VanHelsing
Este ransomware se destaca por su capacidad multi-plataforma, ya que no solo afecta a sistemas Windows, sino que también tiene versiones para Linux, BSD, ARM y servidores ESXi. Esta versatilidad amplía considerablemente su radio de ataque, permitiendo infectar desde estaciones de trabajo hasta entornos virtualizados y dispositivos IoT.
Los archivos encriptados reciben la extensión .vanhelsing, y para su cifrado se emplean algoritmos como Curve25519 para la generación de claves y ChaCha20 para la encriptación de archivos. Además, el malware permite configuraciones avanzadas a través de argumentos en la línea de comandos, facilitando su personalización según las necesidades del atacante. Para protegerte de este tipo de amenazas, es importante estar al tanto de las medidas de seguridad, como la copia de seguridad de datos.
Casos conocidos de infección
En las primeras dos semanas desde su lanzamiento, VanHelsing ya ha logrado afectar a tres víctimas confirmadas, incluyendo dos empresas tecnológicas y una ciudad en Texas. Según los informes de Check Point Research, los operadores del malware han exigido pagos de hasta $500,000 para la recuperación de los archivos cifrados.
El ransomware no solo cifra datos sino que también emplea la estrategia de doble extorsión. Es decir, antes de bloquear los archivos, roba información confidencial de la víctima y amenaza con publicarla si no se paga el rescate. Esta táctica busca aumentar la presión sobre las organizaciones afectadas. Para más información sobre cómo protegerte de ataques de este tipo, revisa cómo detectar y prevenir secuestradores de navegador.
Mecanismos de evasión y persistencia
VanHelsing incorpora varias técnicas para evadir detección y mantenerse en el sistema infectado el mayor tiempo posible. Algunas de estas incluyen:
- Uso de herramientas de administración de Windows como Windows Management Instrumentation (WMI).
- Persistencia mediante tareas programadas y modificaciones en el registro de Windows.
- Habilidad de eliminar copias de seguridad de Windows para evitar la recuperación de datos.
- Modo de encriptado en dos fases (“Silent Mode”) que reduce la probabilidad de detección.
Recomendaciones para protegerse
Ante la creciente amenaza de VanHelsing, es fundamental adoptar medidas de seguridad robustas. Algunas recomendaciones incluyen:
- Realizar copias de seguridad periódicas de los datos importantes y almacenarlas en ubicaciones no accesibles desde la red.
- Habilitar la autenticación multifactor en todos los accesos críticos para evitar accesos no autorizados.
- Actualizar frecuentemente el sistema operativo y todas las aplicaciones para mitigar vulnerabilidades conocidas.
- Monitorear los eventos de seguridad en busca de signos de actividad maliciosa en la red.
VanHelsing representa una seria amenaza en la evolución del cibercrimen. Su modelo de negocio basado en afiliaciones, combinado con su compatibilidad con múltiples plataformas y su rápida evolución, lo convierten en un ransomware altamente peligroso. La comunidad de seguridad sigue de cerca este desarrollo para actualizar sus defensas y minimizar el impacto de este tipo de ataques.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.