Une nouvelle opération de rançongiciel baptisée VanHelsing s’impose depuis le printemps 2025 comme l’une des menaces les plus agressives du moment. Lancé officiellement le 7 mars, ce groupe fonctionne comme une plateforme de Ransomware-as-a-Service, avec un modèle d’affiliation qui attire de nombreux acteurs malveillants grâce à des outils clés en main et à un partage lucratif des rançons.
Son principal atout réside dans sa capacité à frapper bien au-delà de l’écosystème Windows, en ciblant aussi Linux, BSD, les architectures ARM et les environnements de virtualisation VMware ESXi. Une polyvalence rare qui élargit considérablement sa surface d’attaque.
Un ransomware multiplateforme
VanHelsing s’est imposé rapidement dans les radars des spécialistes en sécurité, confirme GBHackers. Deux semaines après son lancement, les affiliés avaient déjà compromis au moins trois organisations, avec des demandes de rançon approchant les 500 000 dollars en Bitcoin. En mai 2025, l’opération revendiquait huit victimes supplémentaires aux États-Unis, en France, en Italie et en Australie, confirmant une stratégie agressive de déploiement.
Le fonctionnement du rançongiciel s’appuie sur un schéma de double extorsion : avant de chiffrer les fichiers, les attaquants exfiltrent des données sensibles qui servent ensuite de levier de pression. Les fichiers compromis se voient ajouter l’extension « .vanhelsing » et une note de rançon « README.txt » est déposée dans les répertoires affectés. Ce mécanisme classique, mais éprouvé, met les victimes face à deux risques simultanés : la perte d’accès à leurs données et la menace d’une divulgation publique de documents confidentiels.
Sur le plan technique, comme l’a décortiqué Fortinet en mai dernier, VanHelsing affiche une sophistication notable. Développé en C++, il exploite un chiffrement hybride mêlant la courbe elliptique Curve25519 et l’algorithme ChaCha20. Chaque fichier se voit attribuer une clé unique, chiffrée avec les clés publiques codées en dur par les opérateurs, de manière à conserver un contrôle complet sur le déchiffrement. Pour accélérer les attaques, les fichiers dépassant 1 Go ne sont chiffrés que partiellement, une optimisation pensée pour frapper rapidement des serveurs critiques comme des bases de données.
Une organisation criminelle structurée comme un service
Le modèle économique de VanHelsing illustre la professionnalisation croissante des réseaux de rançongiciel, confirme cette étude de Picus. Les nouveaux affiliés doivent verser un dépôt de 5 000 dollars (soit 4 300 €) pour accéder à la plateforme et à ses outils. En échange, ils conservent 80 % des rançons perçues, tandis que les opérateurs principaux en retiennent 20 %. Cette mécanique attire des profils variés, du novice opportuniste aux groupes déjà aguerris. Comme beaucoup d’opérations criminelles originaires d’Europe de l’Est, le service interdit explicitement de cibler les pays de la Communauté des États indépendants.
En mai 2025, l’organisation a toutefois connu un incident interne lorsqu’un ancien développeur a tenté de vendre le générateur du ransomware pour 10 000 dollars (8 600 €) sur des forums clandestins. Pour couper court à cette fuite, les opérateurs ont eux-mêmes publié une partie de leur propre infrastructure : générateur Windows, panneau d’affiliés et outils associés. Le générateur Linux, plus stratégique, a cependant été exclu de la divulgation. Les chercheurs alertent depuis sur un effet d’aubaine : même des acteurs peu expérimentés pourraient désormais réutiliser le code rendu public, multipliant les risques d’attaques dérivées.
