一般的なビジネスパーソン向けに、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、最近のランサムウェアを紹介するこのシリーズ。今回は、VanHelsingランサムウェアを紹介します。

「VanHelsingランサムウェア」の概要

2025年3月、「VanHelsingランサムウェア」という新たなランサムウェアが確認されました。「Van Helsing」と聞くと、20年前にヒュー・ジャックマン氏が主演した映画『ヴァン・ヘルシング』を想起される方もいるかもしれません。これが今回のランサムウェア名の由来かは定かではありませんが、以前紹介した「Akiraランサムウェア」のように、ランサムウェアの中には映画やアニメ、ゲームの名前をつけたものがしばしば見受けられます。

VanHelsingランサムウェアの最初のサンプルは、一般公開されているファイルスキャンサイトで2025年3月中旬に公開され、既に複数のオンラインメディアで報道されています。

このランサムウェアは、ランサムウェア・アズ・ア・サービス(RaaS)の形で運営されており、3月中旬にはアンダーグラウンドのサイバー犯罪プラットフォームで、アフィリエイト(RaaSを利用して実際の攻撃を行う攻撃者)の募集告知が掲載されていたとの報道があります。

これによると、VanHelsingランサムウェアによる攻撃で被害者から身代金が支払われた場合、それぞれの取り分は、アフィリエイトが8割、VanHelsingランサムウェアの運営側が2割とのことです。また、経験の少ないアフィリエイトは5,000ドルのデポジット(預り金)が要求される一方、経験豊富なアフィリエイトはデポジットなしで利用できる、とされています。

マルウェアとしての挙動

VanHelsingランサムウェアのマルウェアとしての挙動自体は、他の一般的なランサムウェアと大きく異なるものではありません。詳細は不明確ながら感染経路も他のランサムウェアと大きな違いはないと思われます。

VanHelsingランサムウェアが実行されると、感染したマシン上のファイルを暗号化し、暗号化したファイルに「.vanhelsing」という拡張子を追加します。ただし、特定の拡張子を持つ一部のファイルは、暗号化から除外されています。なおFortiGuard Labsでは、「.vanhelsing」のほか、「.vanlocker」というファイル拡張子を追加する亜種も確認しています。

また、「ミューテックス(mutex)」を作成していることも確認しています。ミューテックスとは、複数のアプリケーションからファイルなどのリソースにアクセスする際に、並列処理による矛盾が生じないよう「排他処理」を行うためのものです。

ミューテックスを使うアプリケーションでは、リソースにアクセスする際に「ミューテックスの所有権」を要求します。所有権を得られれば、リソースにアクセスできますが、既に他のアプリケーションがそのミューテックスを所有している場合は、所有権が解放されるまで待ちます。VanHelsingランサムウェアはこの仕組みを利用することで、ファイル暗号化処理の競合を防止していると考えられます。

暗号化が完了すると、以下のような「README.txt」というランサムノートを残します。ノートには、ファイルを盗んだ上で暗号化したこと、元に戻したければ身代金を支払うこと、そのためには攻撃者がTOR上で運営しているチャットサイトにアクセスすること、などが告知されています。

以下が、チャットサイトの画面例です。被害者と攻撃者の交渉の様子が残されています。

さらに、VanHelsingランサムウェアは、デスクトップの壁紙も以下のように書き換えます。

被害状況

FortiGuard Labsが2025年3月下旬に調査した時点では、攻撃者がTOR上で運営しているデータ流出サイト上に既に6つの組織が被害者として公開されていました。また4月中旬の再確認では、さらに別の1組織が追加されていました。

被害者の国別の内訳は、半数が米国、残りがイタリア、フランス、オーストラリアです。また業種別では、2つの組織が製造業、1つは米国の自治体組織でした。これより、このランサムウェアは、標的を特に限定していないことがうかがえます。

なお、身代金を支払った被害者は既にデータ流出サイトから削除されていることも想定され、これよりも多くの企業や組織が被害を受けている可能性が考えられます。

VanHelsingランサムウェアの亜種の特徴

今回、FortiGuard Labsが確認したVanHelsingランサムウェアの亜種は、Windowsを標的としたものです。しかし、アフィリエイト募集の告知では、LinuxやBSD(UNIX系OS)、ESXi(VMwareの仮想化基盤)、ARMを標的にするための追加機能も提供していると述べられています。また、“ユーザーフレンドリー”な管理ツールも提供されており、数日間で2種類の亜種が確認されたことからも、短期間で積極的な更新が行われ、急速に進化していることを確認できます。

このような「マルチプラットフォーム」「ユーザーフレンドリー」「急速な進化」といった特徴は、多くのアフィリエイトを惹き寄せる要因にもなります。また身代金の分配割合や、経験豊富なアフィリエイトの優遇なども、熟考された戦略性を示しています。VanHelsingランサムウェアは、新興プレイヤーではあるものの、今後この世界の「台風の目」になる危険性を秘めた集団であることを示唆しているように見えます。

このようなRaaSの存在でもわかるように、ランサムウェア攻撃は1つの確立された「ビジネス」になっています。被害数の増減はあるものの、身代金を支払う被害者がいる限り、その活動が止まることはないでしょう。

これらのランサムウェアについて、もっと詳しく知りたい方に

ここで紹介したランサムウェアは、FortiGuard Labsが公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

VanHelsingランサムウェア

「Ransomware Roundup - VanHelsing」(Shunichi Imano and Fred Gutierrez、2025年5月16日)

著者プロフィール


今野 俊一(フォーティネットジャパン 上級研究員)、Fred Gutierrez