VanHelsing 勒索软件即服务运营团队在一名旧开发者试图在 RAMP 网络犯罪论坛上出售其联属面板、数据泄露博客和 Windows 加密器生成器的源代码后,公布了这些代码。
VanHelsing 是 2025 年 3 月推出的一项 RaaS 业务,旨在提升针对 Windows、Linux、BSD、ARM 和 ESXi 系统的能力。
自那时以来,这次行动已经取得了一些成功,Ransomware.live 表示勒索软件集团已知的受害者有八个。
VanHelsing 源代码在网络犯罪论坛上泄露
本周,一个化名为 "th30c0der" 的人试图以 1 万美元的价格出售 VanHelsing 附属面板和数据泄露网站的源代码,以及 Windows 和 Linux 加密器的构建器。
th30c0der 在 RAMP 论坛上发帖称:" 出售 vanhelsing 勒索软件源代码:包括 TOR 密钥 + 管理 web 面板 + 聊天 + 文件服务器 + 博客包括数据库一切。"
VanHelsing 的运营商决定跳过卖家,自己发布源代码,并声称该代码是他们的老开发者之一,以此试图欺骗人们。
"VanHelsing 操作员在 RAMP 上表示正在发布旧的源代码,并将很快推出新的改进版本的储物柜(VanHelsing 2.0)。
然而,与 30c0der 所说的相比,这些泄露的数据是不完整的,因为它不包括 Linux 构建器或任何数据库,这将对执法部门和网络安全研究人员更有帮助。
有媒体已经获得了泄露的源代码,并确认其中包含 Windows 加密器的合法构建器以及附属面板和数据泄漏站点的源代码。
构建器的源代码有点乱,Visual Studio 项目文件位于 "Release" 文件夹中,该文件夹通常用于保存编译后的二进制文件和构建工件。
当完成时,使用 VanHelsing 构建器将需要一些工作,因为它连接回正在运行 31.222.238 [ 的附属面板。 ] 208,接收用于构建过程的数据。
但是,泄漏还包括附属面板的源代码,附属面板托管 api.php 端点,因此威胁者可以修改代码或运行他们自己版本的该面板以使构建器工作。
该归档文件还包含 Windows 加密器的源代码,可用于创建独立构建、解密器和加载器。
泄露的源代码还显示,威胁者试图构建一个 MBR 锁柜,该锁柜将用显示锁定消息的自定义引导加载程序替换主引导记录。
这次泄露并不是勒索软件构建器或加密器源代码第一次在网上泄露,这使得新的勒索软件组织或个人威胁者能够迅速进行攻击。
2021 年 6 月,Babuk 勒索软件构建器泄露,允许任何人为 Windows 和 VMware ESXi 创建加密和解密器。Babuk 漏洞已经成为对 VMware ESXi 服务器进行攻击的最广泛使用的构建器之一。
2022 年 3 月,Conti 勒索软件遭遇数据泄露,其源代码也在网上泄露。其他威胁者很快在他们自己的攻击中使用了这个源代码。
2022 年 9 月,一名声称心怀不满的开发人员泄露了该团队的构建器,导致 LockBit 勒索软件操作遭到破坏。直到今天,这种方法也被其他威胁者广泛使用。
