Ce nouveau ransomware s’attaque aux ordinateurs, aux serveurs… et même à la France

Les cyberattaques se font plus nombreuses et plus sophistiquées. Un nouveau virus dangereux circule actuellement et vise aussi bien les entreprises que les particuliers. Trois victimes ont déjà été identifiées, dont une en France.

Les ransomwares ne visent plus uniquement les grandes entreprises. Des attaques récentes ont touché des particuliers via des données volées dans Chrome, ou des sociétés entières à cause d’une simple caméra non mise à jour. Ce type de virus chiffre les fichiers, les rend inutilisables, puis réclame une rançon. C’est dans ce contexte qu’un nouveau, baptisé VanHelsing, vient d’apparaître. Il fonctionne sur plusieurs plateformes et utilise des techniques furtives pour échapper aux antivirus.

VanHelsing a été repéré pour la première fois à la mi-mars. Il s’agit d’un service utilisé par plusieurs groupes cybercriminels, qui paient pour accéder à l’outil. Ce modèle, appelé Ransomware-as-a-Service (RaaS), permet une large diffusion. Ce dernier peut s’installer sur les PC Windows (Windows 10 et Windows 11), les systèmes Linux, les serveurs ESXi (souvent utilisés dans les entreprises) et même sur certains appareils équipés de puces ARM, comme des NAS ou des objets connectés. Trois victimes sont déjà connues, dont une entreprise française et deux sociétés américaines.

Le ransomware VanHelsing chiffre les fichiers sans se faire repérer et réclame 460 000 €

Une fois installé, VanHelsing chiffre les fichiers, ce qui les rend illisibles. Ensuite, les pirates demandent une rançon sous peine de publier les données volées. La somme demandée est élevée : 500 000 dollars, soit environ 460 000 euros.

Pour éviter de se faire détecter, le ransomware fonctionne en deux temps : il chiffre d’abord les fichiers sans les renommer, ce qui réduit les chances de déclencher une alerte. Lors de la seconde phase, les fichiers sont renommés avec l’extension “.vanhelsing”. À ce moment-là, il est déjà trop tard pour les récupérer sans payer.

Les cybercriminels à l’origine de VanHelsing hébergent eux-mêmes les données volées et offrent un tableau de bord automatisé à ceux qui utilisent leur outil. Ce fonctionnement permet à des groupes peu expérimentés de lancer des attaques complexes. Les entreprises sont particulièrement visées, mais les particuliers mal protégés peuvent aussi se faire piéger, par exemple en cliquant sur un lien piégé ou en utilisant un mot de passe trop simple. La vigilance reste la meilleure protection.

Source : Check Point Research