VanHelsing утопил собственную империю шантажа, лишь бы не дать нажиться предателю.
Киберпреступная группировка, стоящая за программой-вымогателем VanHelsing, сама опубликовала исходный код своего админ-панели, блога с утечками данных и билдера для Windows — после того, как один из бывших разработчиков попытался продать его на хакерском форуме RAMP. Инцидент стал очередным примером того, как внутренние конфликты и предательство могут разрушать криминальные операции изнутри.
VanHelsing — это схема вымогательства как услуги (Ransomware-as-a-Service), запущенная в марте 2025 года. Организаторы обещали поддержку для атак на Windows, Linux, BSD, ARM и виртуализации ESXi, делая ставку на универсальность. По Ransomware.live, к маю было зафиксировано восемь известных жертв, пострадавших от этой группы.
Попытка продажи утром, когда пользователь под псевдонимом «th30c0der» выложил на RAMP объявление о продаже полной инфраструктуры VanHelsing за $10 000. В архив, по его словам, входили ключи для Tor-сервисов, админ-панель с чатом, файловым сервером, блогом и всеми базами данных, а также билдеры шифровальщиков под Windows и Linux.
Однако вскоре после появления объявления группа VanHelsing опубликовала часть исходников сама, заявив, что «th30c0der» — это их бывший разработчик, пытающийся заработать на чужой работе. Представители группировки пообещали, что текущая утечка касается старой версии, а вскоре появится новая, улучшенная — VanHelsing 2.0.
Тем не менее, опубликованный архив оказался не столь полным, как заявлял продавец: отсутствуют Linux-билдер и базы данных, что снижает ценность утечки для правоохранительных органов и специалистов по безопасности. Но в специалисты подлинность исходников — архив действительно содержит рабочий билдер Windows-шифровальщика, исходный код панели для аффилиатов и блог с утечками.
Анализ кода показал, что структура файлов неаккуратная: проект Visual Studio оказался в папке Release, обычно используемой для скомпилированных бинарников. Чтобы собрать работающий билд, потребуется настроить связь с аффилиат-панелью, которая ранее функционировала по IP-адресу 31.222.238[.]208, а именно с файлом api.php, обрабатывающим команды. Также имеется возможность запустить собственную версию панели, чтобы настроить взаимодействие с билдером.
Кроме того, в архиве есть исходный код шифровальщика для Windows, расшифровщика и загрузчика. Отдельно внимание привлек недоработанный компонент MBRLocker — программа, способная перезаписать главный загрузочный сектор (MBR) на заражённой машине, заменив его собственным бутлоадером с сообщением о блокировке.
История с VanHelsing — не первый случай, когда в открытый доступ попадают критически важные элементы инфраструктуры программ-вымогателей. В 2021 году утечка билдера Babuk позволила множеству новых атакующих создать свои версии шифровальщиков под Windows и VMware ESXi. В 2022 году аналогичная участь постигла код Conti после внутренней утечки, а затем — и LockBit, чей билдер слил разработчик, недовольный отношением к себе внутри группировки.
Подробнее:
Киберпреступная группировка, стоящая за программой-вымогателем VanHelsing, сама опубликовала исходный код своего админ-панели, блога с утечками данных и билдера для Windows — после того, как один из бывших разработчиков попытался продать его на хакерском форуме RAMP. Инцидент стал очередным примером того, как внутренние конфликты и предательство могут разрушать криминальные операции изнутри.
VanHelsing — это схема вымогательства как услуги (Ransomware-as-a-Service), запущенная в марте 2025 года. Организаторы обещали поддержку для атак на Windows, Linux, BSD, ARM и виртуализации ESXi, делая ставку на универсальность. По Ransomware.live, к маю было зафиксировано восемь известных жертв, пострадавших от этой группы.
Попытка продажи утром, когда пользователь под псевдонимом «th30c0der» выложил на RAMP объявление о продаже полной инфраструктуры VanHelsing за $10 000. В архив, по его словам, входили ключи для Tor-сервисов, админ-панель с чатом, файловым сервером, блогом и всеми базами данных, а также билдеры шифровальщиков под Windows и Linux.
Однако вскоре после появления объявления группа VanHelsing опубликовала часть исходников сама, заявив, что «th30c0der» — это их бывший разработчик, пытающийся заработать на чужой работе. Представители группировки пообещали, что текущая утечка касается старой версии, а вскоре появится новая, улучшенная — VanHelsing 2.0.
Тем не менее, опубликованный архив оказался не столь полным, как заявлял продавец: отсутствуют Linux-билдер и базы данных, что снижает ценность утечки для правоохранительных органов и специалистов по безопасности. Но в специалисты подлинность исходников — архив действительно содержит рабочий билдер Windows-шифровальщика, исходный код панели для аффилиатов и блог с утечками.
Анализ кода показал, что структура файлов неаккуратная: проект Visual Studio оказался в папке Release, обычно используемой для скомпилированных бинарников. Чтобы собрать работающий билд, потребуется настроить связь с аффилиат-панелью, которая ранее функционировала по IP-адресу 31.222.238[.]208, а именно с файлом api.php, обрабатывающим команды. Также имеется возможность запустить собственную версию панели, чтобы настроить взаимодействие с билдером.
Кроме того, в архиве есть исходный код шифровальщика для Windows, расшифровщика и загрузчика. Отдельно внимание привлек недоработанный компонент MBRLocker — программа, способная перезаписать главный загрузочный сектор (MBR) на заражённой машине, заменив его собственным бутлоадером с сообщением о блокировке.
История с VanHelsing — не первый случай, когда в открытый доступ попадают критически важные элементы инфраструктуры программ-вымогателей. В 2021 году утечка билдера Babuk позволила множеству новых атакующих создать свои версии шифровальщиков под Windows и VMware ESXi. В 2022 году аналогичная участь постигла код Conti после внутренней утечки, а затем — и LockBit, чей билдер слил разработчик, недовольный отношением к себе внутри группировки.
Подробнее:
