- 19,455
- 40
- 8 Ноя 2022
VanHelsing утопил собственную империю шантажа, лишь бы не дать нажиться предателю.
Киберпреступная группировка, стоящая за программой-вымогателем VanHelsing, сама опубликовала исходный код своего админ-панели, блога с утечками данных и билдера для Windows — после того, как один из бывших разработчиков попытался продать его на хакерском форуме RAMP. Инцидент стал очередным примером того, как внутренние конфликты и предательство могут разрушать криминальные операции изнутри.
VanHelsing — это схема вымогательства как услуги (Ransomware-as-a-Service), запущенная в марте 2025 года. Организаторы обещали поддержку для атак на Windows, Linux, BSD, ARM и виртуализации ESXi, делая ставку на универсальность. По Для просмотра ссылки Войдиили Зарегистрируйся Ransomware.live, к маю было зафиксировано восемь известных жертв, пострадавших от этой группы.
Попытка продажи Для просмотра ссылки Войдиили Зарегистрируйся утром, когда пользователь под псевдонимом «th30c0der» выложил на RAMP объявление о продаже полной инфраструктуры VanHelsing за $10 000. В архив, по его словам, входили ключи для Tor-сервисов, админ-панель с чатом, файловым сервером, блогом и всеми базами данных, а также билдеры шифровальщиков под Windows и Linux.
Однако вскоре после появления объявления группа VanHelsing опубликовала часть исходников сама, заявив, что «th30c0der» — это их бывший разработчик, пытающийся заработать на чужой работе. Представители группировки пообещали, что текущая утечка касается старой версии, а вскоре появится новая, улучшенная — VanHelsing 2.0.
Тем не менее, опубликованный архив оказался не столь полным, как заявлял продавец: отсутствуют Linux-билдер и базы данных, что снижает ценность утечки для правоохранительных органов и специалистов по безопасности. Но в специалисты Для просмотра ссылки Войдиили Зарегистрируйся подлинность исходников — архив действительно содержит рабочий билдер Windows-шифровальщика, исходный код панели для аффилиатов и блог с утечками.
Анализ кода показал, что структура файлов неаккуратная: проект Visual Studio оказался в папке Release, обычно используемой для скомпилированных бинарников. Чтобы собрать работающий билд, потребуется настроить связь с аффилиат-панелью, которая ранее функционировала по IP-адресу 31.222.238[.]208, а именно с файлом <code>api.php</code>, обрабатывающим команды. Также имеется возможность запустить собственную версию панели, чтобы настроить взаимодействие с билдером.
Кроме того, в архиве есть исходный код шифровальщика для Windows, расшифровщика и загрузчика. Отдельно внимание привлек недоработанный компонент MBRLocker — программа, способная перезаписать главный загрузочный сектор (MBR) на заражённой машине, заменив его собственным бутлоадером с сообщением о блокировке.
История с VanHelsing — не первый случай, когда в открытый доступ попадают критически важные элементы инфраструктуры программ-вымогателей. В 2021 году утечка билдера Babuk позволила множеству новых атакующих создать свои версии шифровальщиков под Windows и VMware ESXi. В 2022 году аналогичная участь постигла код Conti после внутренней утечки, а затем — и LockBit, чей билдер слил разработчик, недовольный отношением к себе внутри группировки.
Киберпреступная группировка, стоящая за программой-вымогателем VanHelsing, сама опубликовала исходный код своего админ-панели, блога с утечками данных и билдера для Windows — после того, как один из бывших разработчиков попытался продать его на хакерском форуме RAMP. Инцидент стал очередным примером того, как внутренние конфликты и предательство могут разрушать криминальные операции изнутри.
VanHelsing — это схема вымогательства как услуги (Ransomware-as-a-Service), запущенная в марте 2025 года. Организаторы обещали поддержку для атак на Windows, Linux, BSD, ARM и виртуализации ESXi, делая ставку на универсальность. По Для просмотра ссылки Войди
Попытка продажи Для просмотра ссылки Войди
Однако вскоре после появления объявления группа VanHelsing опубликовала часть исходников сама, заявив, что «th30c0der» — это их бывший разработчик, пытающийся заработать на чужой работе. Представители группировки пообещали, что текущая утечка касается старой версии, а вскоре появится новая, улучшенная — VanHelsing 2.0.
Тем не менее, опубликованный архив оказался не столь полным, как заявлял продавец: отсутствуют Linux-билдер и базы данных, что снижает ценность утечки для правоохранительных органов и специалистов по безопасности. Но в специалисты Для просмотра ссылки Войди
Анализ кода показал, что структура файлов неаккуратная: проект Visual Studio оказался в папке Release, обычно используемой для скомпилированных бинарников. Чтобы собрать работающий билд, потребуется настроить связь с аффилиат-панелью, которая ранее функционировала по IP-адресу 31.222.238[.]208, а именно с файлом <code>api.php</code>, обрабатывающим команды. Также имеется возможность запустить собственную версию панели, чтобы настроить взаимодействие с билдером.
Кроме того, в архиве есть исходный код шифровальщика для Windows, расшифровщика и загрузчика. Отдельно внимание привлек недоработанный компонент MBRLocker — программа, способная перезаписать главный загрузочный сектор (MBR) на заражённой машине, заменив его собственным бутлоадером с сообщением о блокировке.
История с VanHelsing — не первый случай, когда в открытый доступ попадают критически важные элементы инфраструктуры программ-вымогателей. В 2021 году утечка билдера Babuk позволила множеству новых атакующих создать свои версии шифровальщиков под Windows и VMware ESXi. В 2022 году аналогичная участь постигла код Conti после внутренней утечки, а затем — и LockBit, чей билдер слил разработчик, недовольный отношением к себе внутри группировки.
- Источник новости
- www.securitylab.ru
