Изходният код на панела за афилиейти, сайта за изтичане на данни и криптора за Windows беше публикуван от самите оператори на VanHelsing след опит за продажба от бивш разработчик

Изходният код на зловредната платформа VanHelsing ransomware-as-a-service (RaaS) беше публично публикуван от създателите ѝ, след като бивш разработчик се опита да го продаде във форума RAMP, използван активно от киберпрестъпници.

VanHelsing е сравнително нова RaaS операция, стартирала през март 2025 г., с поддръжка за атаки срещу Windows, Linux, BSD, ARM и ESXi платформи. Оттогава насам са документирани поне осем жертви, според данните на Ransomware.live.

Опит за продажба на кода за $10,000

На 20 май, лице с псевдонима th30c0der публикува оферта във форума RAMP за продажба на пълен пакет от компоненти на VanHelsing:

„VanHelsing ransomware source code for sell: включва TOR ключове, админ панел, чат, файлов сървър, блог, база данни – всичко включено.“

Отговорът на оригиналните оператори на VanHelsing не закъсня. Те обявиха публично, че th30c0der е бивш член на екипа, който се опитва да измами потенциални купувачи, и сами публикуваха сорс кода на по-старата версия, като обещаха, че работят върху нова и „подобрена“ версия – VanHelsing 2.0.

Какво съдържа изтеклият код?

Изследване потвърди, че изтеклите файлове включват:

• Сорс код на Windows криптора (encryptor)

• Декриптор и лоудър

• Сорс код на афилиейт панела

• Сорс код на сайта за изтичане на данни (data leak blog)

• Компоненти за изработка на самостоятелен криптор

Кодът включва и непълен прототип на MBR locker, предназначен да замени главния boot сектор с персонализиран lock екран — напомняне за по-агресивните техники, използвани от ранните версии на ransomware.

❗ Архивът не съдържа Linux билдъра, нито базите данни, които th30c0der твърди, че притежава – това намалява неговата полезност за разследващи органи и специалисти по киберсигурност.

Технически детайли и възможни злоупотреби

Макар сорс кодът да е валиден и пълен откъм функции, структурата му е хаотична – напр., Visual Studio проектите се намират в папката „Release“, която обикновено съдържа само компилирани файлове.

Също така, билдърът е свързан към IP адрес 31.222.238[.]208, където е бил хостнат афилиейт панелът. Това означава, че за да бъде използван, зловредният код трябва да бъде модифициран или да се пусне локално копие на контролния панел.

Потенциални последствия

Подобно на предишни изтичания, като тези на Babuk (2021), Conti (2022) и LockBit (2022), VanHelsing leak може да доведе до:

• Улеснено създаване на нови ransomware клонове, особено от ниско ниво престъпници;

• Повишена активност срещу Windows системи, използвайки вече готов криптор;

• Рециклиране на кодови компоненти от нови групи, които търсят бърз начин за навлизане в атаките тип „ransomware“.

 Какво означава това за киберсигурността?

Изтичането на сорс код от активни RaaS платформи е нож с две остриета – от една страна, дава възможност на изследователите да анализират архитектурата на заплахата; от друга – улеснява престъпници, които иначе не биха имали ресурсите да изградят собствен криптор.

За организациите това е поредното напомняне за нуждата от:

• актуални политики за сигурност,

• засилен мониторинг,

• реагиране при инциденти,

• и обучение на персонала срещу социално инженерство и phishing атаки – често входната точка за ransomware кампании.