Στα πλαίσια ενός σπάνιου περιστατικού εσωτερικής ρήξης, η εγκληματική οργάνωση πίσω από τη λειτουργία ransomware-as-a-service (RaaS) VanHelsing προχώρησε στη δημόσια διαρροή του source code της πλατφόρμας της. Το γεγονός σημειώθηκε έπειτα από απόπειρα πρώην συνεργάτη να πωλήσει τον κώδικα σε cybercrime forum.
Η VanHelsing, μια σχετικά νέα απειλή στον χώρο του RaaS με δραστηριότητα από τον Μάρτιο του 2025, υποστηρίζει επιθέσεις σε συστήματα Windows, Linux, BSD, ARM και ESXi. Σύμφωνα με το Ransomware.live, η συμμορία έχει μέχρι στιγμής καταγράψει τουλάχιστον οκτώ θύματα.
VanHelsing ransomware: Διαρροή source code σε hacking forum
Χθες, ένας χρήστης με το ψευδώνυμο th30c0der επιχείρησε να πουλήσει τον πηγαίο κώδικα του affiliate panel, των data leak Tor sites και των builders για τους Windows και Linux encryptors ζητώντας 10.000 δολάρια σε ανάρτησή του στο RAMP — ένα γνωστό φόρουμ του dark web.
Δείτε επίσης: KeePass: Ψεύτικη έκδοση οδηγεί σε μόλυνση με ransomware
“Vanhelsing ransomware πηγαίος κώδικας για πώληση: συμπεριλαμβάνει TOR keys + web panel for admin + chat + file server + blog, περιλαμβάνουν τα πάντα στη βάση δεδομένων”, έγραψε ο th30c0der στο φόρουμ RAMP.
Η απάντηση από τη VanHelsing ήταν άμεση. Όπως ανέφερε πρώτος ο ερευνητής κυβερνοασφάλειας Emanuele De Lucia, οι χειριστές της πλατφόρμας κυκλοφόρησαν οι ίδιοι τον source code ως αντίποινα, αποκαλώντας τον th30c0der “πρώην προγραμματιστή που προσπαθεί να εξαπατήσει την κοινότητα“.
Σε μια αιφνιδιαστική ανακοίνωση, οι υπεύθυνοι της πλατφόρμας ransomware-as-a-service δήλωσαν πως προχωρούν στη δημοσίευση του παλιού πηγαίου κώδικα, προαναγγέλλοντας ταυτόχρονα την άφιξη μιας «βελτιωμένης» έκδοσης: του VanHelsing 2.0.
Ωστόσο, τα δεδομένα που διέρρευσαν από την ομάδα είναι ελλιπή σε σχέση με αυτά που φέρεται να διαθέτει ο πρώην προγραμματιστής με το ψευδώνυμο th30c0der. Συγκεκριμένα, λείπουν κρίσιμα στοιχεία όπως ο Linux builder και οι βάσεις δεδομένων, τα οποία θα ήταν ιδιαίτερα πολύτιμα για την ανάλυση από ερευνητές κυβερνοασφάλειας και τις διωκτικές αρχές.
Το BleepingComputer εξασφάλισε πρόσβαση στο υλικό και επιβεβαίωσε ότι περιλαμβάνει τον έγκυρο πηγαίο κώδικα του Windows builder, του affiliate panel και του data leak site. Παράλληλα, εντοπίστηκε ότι τα Visual Studio project files βρίσκονται στον φάκελο “Release”, που συνήθως χρησιμοποιείται για compiled binaries και build artifacts — κάτι που υποδηλώνει ακαταστασία στην οργάνωση του έργου.
Παρά την ημιτελή της μορφή, η διαρροή περιλαμβάνει και τον πηγαίο κώδικα του affiliate panel, που φιλοξενεί το api.php endpoint. Αυτό σημαίνει ότι επίδοξοι εγκληματίες μπορούν να προσαρμόσουν τον κώδικα ή να στήσουν έναν δικό τους server ώστε να αξιοποιήσουν το builder πλήρως.
Δείτε επίσης: Ransomware συμμορίες χρησιμοποιούν το Skitnet malware
Τέλος, έχει διαρρεύσει ο source code για τον Windows encryptor που μπορεί να χρησιμοποιηθεί για τη δημιουργία ενός standalone build, του decryptor και ενός loader.
Στο εσωτερικό του κώδικα αποκαλύπτεται επίσης προσπάθεια ανάπτυξης ενός MBR locker, το οποίο σχεδιάστηκε για να αντικαθιστά το master boot record με ένα custom bootloader που εμφανίζει μήνυμα κλειδώματος κατά την εκκίνηση του συστήματος.
Η διαρροή του VanHelsing δεν είναι η πρώτη
Η διαρροή του source code της πλατφόρμας VanHelsing προστίθεται σε μια σειρά προηγούμενων περιστατικών που έχουν επηρεάσει καθοριστικά το τοπίο απειλών. Τέτοιες διαρροές, αν και σπάνιες, έχουν αποδειχθεί κρίσιμο εργαλείο για την εμφάνιση νέων ομάδων ransomware και ανεξάρτητων φορέων απειλών.
Ένα από τα πιο χαρακτηριστικά παραδείγματα σημειώθηκε τον Ιούνιο του 2021, όταν ο builder του Babuk ransomware διέρρευσε δημόσια, επιτρέποντας τη μαζική δημιουργία encryptors and decryptors για Windows και VMware ESXi. Από τότε, το εργαλείο του Babuk χρησιμοποιείται ευρέως για επιθέσεις εναντίον υποδομών ESXi.
Τον Μάρτιο του 2022, υπήρξε διαρροή του πηγαίου κώδικα της περιβόητης συμμορίας Conti, μετά από εσωτερική διαρροή που αποκάλυψε όχι μόνο τα εργαλεία, αλλά και εσωτερικές επικοινωνίες. Πολλοί απειλητικοί παράγοντες αξιοποίησαν άμεσα τον κώδικα σε νέες ransomware καμπάνιες.
Δείτε επίσης: Ομάδες ransomware εκμεταλλεύονται ευπάθεια του SAP NetWeaver
Αντίστοιχο σκηνικό διαδραματίστηκε και τον Σεπτέμβριο του 2022, όταν ένας πιθανώς δυσαρεστημένος developer της συμμορίας LockBit φέρεται να διέρρευσε τον builder του ransomware τους. Το συγκεκριμένο εργαλείο παραμένει μέχρι και σήμερα ιδιαίτερα διαδεδομένο μεταξύ επιτιθέμενων.
Καθώς τέτοιες διαρροές διευκολύνουν σημαντικά τη διάδοση του ransomware-as-a-service μοντέλου, ενισχύεται η ανάγκη για διαρκή επαγρύπνηση και συνεργασία μεταξύ κοινοτήτων κυβερνοασφάλειας και διωκτικών αρχών.
Η δημοσίευση του source code του VanHelsing, ως αντίποινα στον πρώην developer, υπογραμμίζει τις εύθραυστες ισορροπίες και τις εσωτερικές εντάσεις στον χώρο του κυβερνοεγκλήματος, ενώ ενδεχομένως προσφέρει πολύτιμες πληροφορίες στις αρχές και στους ειδικούς ασφαλείας για τον εντοπισμό ή την εξουδετέρωση της απειλής VanHelsing στο μέλλον.
Από την άλλη μεριά, όπως συνέβη και με τις προηγούμενες διαρροές, υπάρχει κίνδυνος να χρησιμοποιηθεί ο κώδικας από άλλες ομάδες. Αυτό σημαίνει ότι σύντομα μπορούμε να δούμε αύξηση των ransomware επιθέσεων.
Πηγή: www.bleepingcomputer.com
