VanHelsing勒索软件即服务运营团队在一名旧开发者试图在RAMP网络犯罪论坛上出售其联属面板、数据泄露博客和Windows加密器生成器的源代码后,公布了这些代码。
VanHelsing是2025年3月推出的一项RaaS业务,旨在提升针对Windows、Linux、BSD、ARM和ESXi系统的能力。
自那时以来,这次行动已经取得了一些成功,Ransomware.live 表示勒索软件集团已知的受害者有八个。
VanHelsing源代码在网络犯罪论坛上泄露
本周,一个化名为“th30c0der”的人试图以1万美元的价格出售VanHelsing附属面板和数据泄露网站的源代码,以及Windows和Linux加密器的构建器。
th30c0der在RAMP论坛上发帖称:“出售vanhelsing勒索软件源代码:包括TOR密钥+管理web面板+聊天+文件服务器+博客包括数据库一切。”
那个试图出售VanHelsing源代码的程序员
VanHelsing的运营商决定跳过卖家,自己发布源代码,并声称该代码是他们的老开发者之一,以此试图欺骗人们。
”VanHelsing操作员在RAMP上表示正在发布旧的源代码,并将很快推出新的改进版本的储物柜(VanHelsing 2.0)。
VanHelsin RaaS在RAMP上发布源代码
然而,与30c0der所说的相比,这些泄露的数据是不完整的,因为它不包括Linux构建器或任何数据库,这将对执法部门和网络安全研究人员更有帮助。
有媒体已经获得了泄露的源代码,并确认其中包含Windows加密器的合法构建器以及附属面板和数据泄漏站点的源代码。
泄露的源代码
构建器的源代码有点乱,Visual Studio项目文件位于“Release”文件夹中,该文件夹通常用于保存编译后的二进制文件和构建工件。
当完成时,使用VanHelsing构建器将需要一些工作,因为它连接回正在运行31.222.238[的附属面板。]208,接收用于构建过程的数据。
构建器使用的Common.h头文件
但是,泄漏还包括附属面板的源代码,附属面板托管api.php端点,因此威胁者可以修改代码或运行他们自己版本的该面板以使构建器工作。
该归档文件还包含Windows加密器的源代码,可用于创建独立构建、解密器和加载器。
VanHelsing加密器源代码
泄露的源代码还显示,威胁者试图构建一个MBR锁柜,该锁柜将用显示锁定消息的自定义引导加载程序替换主引导记录。
VanHelsing MBRLocker源代码
这次泄露并不是勒索软件构建器或加密器源代码第一次在网上泄露,这使得新的勒索软件组织或个人威胁者能够迅速进行攻击。
2021年6月,Babuk勒索软件构建器泄露,允许任何人为Windows和VMware ESXi创建加密和解密器。Babuk漏洞已经成为对VMware ESXi服务器进行攻击的最广泛使用的构建器之一。
2022年3月,Conti勒索软件遭遇数据泄露,其源代码也在网上泄露。其他威胁者很快在他们自己的攻击中使用了这个源代码。
2022年9月,一名声称心怀不满的开发人员泄露了该团队的构建器,导致LockBit勒索软件操作遭到破坏。直到今天,这种方法也被其他威胁者广泛使用。
You must login to view this content
520的浪漫余温未散,梆梆安全也想对您大声表白:感谢每一份陪伴与信任!感谢对「梆梆产品季」的关注与支持!
本季活动共收到6大行业用户申请试用,其中,客户行业TOP3为:互联网及商企、物联网、大交通,占比分别为35%、25%、15%;试用数量最多的产品是“应用安全测评平台”,占比50%。
在即将收官之际,小编带着感恩与惊喜而来,通过「限时福利」活动收获了用户的走心评论与热情转发,每一句期待、每一次分享,都是双向奔赴的见证。两项福利活动共10名幸运用户已诞生!快来看看「梆梆安全春促大礼包」花落谁家!
活动一:评论互动获奖名单
参与方式:留言分享对梆梆产品季的期待,点赞量TOP5
获奖用户:@韩强、@天涯、@小桃汁儿🍑、@天笑、@曹磊v12
活动二:转发抽奖获奖名单
参与方式:转发推文至朋友圈并提交截图
获奖用户:@安全123、@云技、@技术喵、@开发者88、@Elsa
恭喜以上10位用户分别获得「梆梆安全春促大礼包」一份
希望这份心意,助您在安全领域乘风破浪
同时,您的期待也是我们前进的动力
领奖方式
请所有获奖用户在5月26日12:00前,通过梆梆安全公众号后台发送【领奖+您的ID+联系方式+邮寄地址】,小编将尽快与您确认信息并邮寄礼品。
备注:逾期未提交视为自动放弃,终解释权归梆梆安全所有,不要让爱意落空哦。
You must login to view this content