VanHelsing勒索軟件即服務運營團隊在一名舊開發(fā)者試圖在RAMP網絡犯罪論壇上出售其聯屬面板、數據泄露博客和Windows加密器生成器的源代碼后，公布了這些代碼。

VanHelsing是2025年3月推出的一項RaaS業(yè)務，旨在提升針對Windows、Linux、BSD、ARM和ESXi系統的能力。

自那時以來，這次行動已經取得了一些成功，Ransomware.live 表示勒索軟件集團已知的受害者有八個。

VanHelsing源代碼在網絡犯罪論壇上泄露

本周，一個化名為“th30c0der”的人試圖以1萬美元的價格出售VanHelsing附屬面板和數據泄露網站的源代碼，以及Windows和Linux加密器的構建器。

th30c0der在RAMP論壇上發(fā)帖稱：“出售vanhelsing勒索軟件源代碼：包括TOR密鑰+管理web面板+聊天+文件服務器+博客包括數據庫一切?！?/p>

那個試圖出售VanHelsing源代碼的程序員

VanHelsing的運營商決定跳過賣家，自己發(fā)布源代碼，并聲稱該代碼是他們的老開發(fā)者之一，以此試圖欺騙人們。

”VanHelsing操作員在RAMP上表示正在發(fā)布舊的源代碼，并將很快推出新的改進版本的儲物柜（VanHelsing 2.0）。

VanHelsin RaaS在RAMP上發(fā)布源代碼

然而，與30c0der所說的相比，這些泄露的數據是不完整的，因為它不包括Linux構建器或任何數據庫，這將對執(zhí)法部門和網絡安全研究人員更有幫助。

有媒體已經獲得了泄露的源代碼，并確認其中包含Windows加密器的合法構建器以及附屬面板和數據泄漏站點的源代碼。

泄露的源代碼

構建器的源代碼有點亂，Visual Studio項目文件位于“Release”文件夾中，該文件夾通常用于保存編譯后的二進制文件和構建工件。

當完成時，使用VanHelsing構建器將需要一些工作，因為它連接回正在運行31.222.238[的附屬面板。]208，接收用于構建過程的數據。

構建器使用的Common.h頭文件

但是，泄漏還包括附屬面板的源代碼，附屬面板托管api.php端點，因此威脅者可以修改代碼或運行他們自己版本的該面板以使構建器工作。

該歸檔文件還包含Windows加密器的源代碼，可用于創(chuàng)建獨立構建、解密器和加載器。

VanHelsing加密器源代碼

泄露的源代碼還顯示，威脅者試圖構建一個MBR鎖柜，該鎖柜將用顯示鎖定消息的自定義引導加載程序替換主引導記錄。

VanHelsing MBRLocker源代碼

這次泄露并不是勒索軟件構建器或加密器源代碼第一次在網上泄露，這使得新的勒索軟件組織或個人威脅者能夠迅速進行攻擊。

2021年6月，Babuk勒索軟件構建器泄露，允許任何人為Windows和VMware ESXi創(chuàng)建加密和解密器。Babuk漏洞已經成為對VMware ESXi服務器進行攻擊的最廣泛使用的構建器之一。

2022年3月，Conti勒索軟件遭遇數據泄露，其源代碼也在網上泄露。其他威脅者很快在他們自己的攻擊中使用了這個源代碼。

2022年9月，一名聲稱心懷不滿的開發(fā)人員泄露了該團隊的構建器，導致LockBit勒索軟件操作遭到破壞。直到今天，這種方法也被其他威脅者廣泛使用。

參考及來源：https://www.bleepingcomputer.com/news/security/vanhelsing-ransomware-builder-leaked-on-hacking-forum/