Утечка исходного кода VanHelsing

Введение​

В 2025 году на киберпреступном форуме RAMP произошёл инцидент, который может иметь серьёзные последствия для кибербезопасности: исходный код VanHelsing — одного из активных операторов программ-вымогателей — был опубликован в открытый доступ. Утечка включает панели для партнёров, сайт для утечек данных, а также сборщик шифровальщика для Windows.

Что такое VanHelsing?​

VanHelsing — это операция ransomware-as-a-service (RaaS), запущенная в марте 2025 года. Заявленная особенность — возможность атаковать системы на базе Windows, Linux, BSD, ARM и ESXi. По данным Ransomware.live, на текущий момент подтверждено восемь жертв, ставших объектом атак этой группировки.

Утечка исходного кода: что произошло?​

Пользователь под псевдонимом th30c0der попытался продать на форуме RAMP весь исходный код VanHelsing за $10 000. Он утверждал, что в архив входят:

• Тор-ключи
• Веб-панель администратора
• Чат, файловый сервер, блог
• База данных
• Сборщики шифровальщиков для Windows и Linux

Однако вскоре после публикации VanHelsing официально выложили часть исходников сами, утверждая, что th30c0der — бывший разработчик, пытающийся обмануть покупателей.

«Мы публикуем старую версию исходного кода. Скоро выйдет новая улучшенная версия VanHelsing 2.0», — написали операторы группировки.

Что содержится в утечке?​

По информации BleepingComputer, в архиве действительно находятся:

• Рабочий сборщик шифровальщика для Windows
• Исходники панели для партнёров
• Сайт для утечек данных
• Исходники расшифровщика и загрузчика
• Заготовка MBR-локера, заменяющего мастер-загрузочную запись

Важно: в опубликованной версии нет сборщика для Linux и базы данных, о которых упоминал th30c0der. Это ограничивает ценность утечки для исследователей и правоохранительных органов, но оставляет инструменты, пригодные для создания новых атак.

Технические детали​

• Сборщик содержит исходный код, подключающийся к панели партнёров по IP-адресу 31.222.238[.]208, откуда он получает параметры сборки.
• Структура проекта довольно хаотична — Visual Studio-файлы расположены в папке Release, которая обычно предназначена для скомпилированных бинарников.
• Также включены скрипты и конфигурации для запуска панели и API (api.php), что позволяет злоумышленникам развернуть свою инфраструктуру.

Почему это опасно?​

Подобные утечки в прошлом уже служили катализатором появления новых группировок и атак:

• В 2021 году утечка сборщика Babuk привела к волне атак на VMware ESXi.
• В 2022 — утечка исходников Conti после взлома группировки.
• В том же году — утечка LockBit, вызванная конфликтом с одним из разработчиков.

Теперь VanHelsing может пополнить этот список, открывая двери для малоопытных злоумышленников, способных проводить атаки благодаря доступности готовых инструментов.

Вывод​

Утечка исходников VanHelsing — это серьёзный инцидент, потенциально усиливающий угрозу со стороны новых и существующих кибергрупп. Даже если не все модули попали в общий доступ, предоставленных данных достаточно, чтобы начать производство собственных модифицированных шифровальщиков.

Источник