経験豊富なハッカーからサイバー犯罪の初心者まで網羅する「VanHelsing」の脅威が拡大中 チェック・ポイント・ソフトウェア・テクノロジーズ：ランサムウェア業界で広がる「アフィリエイトモデル」とは

チェック・ポイント・ソフトウェア・テクノロジーズは、新たなRaaSプラットフォーム「VanHelsing」について警鐘を鳴らした。急速に進化しており、登場からわずか2週間で3つの組織への攻撃が確認されているという。

[＠IT]

　チェック・ポイント・ソフトウェア・テクノロジーズは2025年3月31日、新たなRaaS（Ransomware as a Service）プラットフォームである「VanHelsing」について注意喚起した。VanHelsingは、同年3月7日に登場してから急速に進化しており、同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（CPR）によると、登場からわずか2週間で3つの組織への攻撃が確認されており、短期間で高度な亜種も開発されているという。

チェック・ポイント・ソフトウェア・テクノロジーズのWebページから引用

およそ75万円でランサムウェア攻撃に参加できてしまう

　VanHelsingを悪用したグループは、暗号化解除や窃取したデータの削除と引き換えに高額な身代金を要求することで注目を集めている。攻撃者は、交渉の過程で、指定のビットコインウォレットに50万ドルの送金を求めていたことが確認されている。

　VanHelsingは「Windows」「Linux」「BSD」「ARM」「VMware ESXi」などに対応し、幅広い層がランサムウェア攻撃に参加できるRaaSとなっている。アフィリエイトモデル（ランサムウェアの開発者が攻撃ツールやインフラを提供し、それを利用する「アフィリエイト」が実際の攻撃を実行する分業型のモデル）を採用しており、参加者は5000ドル（約75万円）のデポジットを支払うことで、ランサムウェア攻撃による身代金の80％を獲得でき、運営元が20％を徴収する仕組みとなっている。

　さまざまなOSに対応していることから攻撃範囲が大幅に拡大され、サイバー恐喝で利益を得ようとするアフィリエイトにとって魅力的な選択肢になっているという。

　CPRは、Windowsを標的とするVanHelsingの2つの亜種を確認したとしている。同ランサムウェアは積極的に更新されており、最新バージョンでは新たなコマンドライン引数や機能が追加され、継続的な開発が進められているという。CPRでは、頻繁な更新はその急速な進化を示しており、それがもたらす脅威の深刻さをさらに強調していると警告している。