VanHelsing勒索软件即服务运营团队在一名旧开发者试图在RAMP网络犯罪论坛上出售其联属面板、数据泄露博客和Windows加密器生成器的源代码后，公布了这些代码。

VanHelsing是2025年3月推出的一项RaaS业务，旨在提升针对Windows、Linux、BSD、ARM和ESXi系统的能力。

自那时以来，这次行动已经取得了一些成功，Ransomware.live 表示勒索软件集团已知的受害者有八个。

VanHelsing源代码在网络犯罪论坛上泄露

本周，一个化名为“th30c0der”的人试图以1万美元的价格出售VanHelsing附属面板和数据泄露网站的源代码，以及Windows和Linux加密器的构建器。

th30c0der在RAMP论坛上发帖称：“出售vanhelsing勒索软件源代码：包括TOR密钥+管理web面板+聊天+文件服务器+博客包括数据库一切。”

那个试图出售VanHelsing源代码的程序员

VanHelsing的运营商决定跳过卖家，自己发布源代码，并声称该代码是他们的老开发者之一，以此试图欺骗人们。

”VanHelsing操作员在RAMP上表示正在发布旧的源代码，并将很快推出新的改进版本的储物柜（VanHelsing 2.0）。

VanHelsin RaaS在RAMP上发布源代码

然而，与30c0der所说的相比，这些泄露的数据是不完整的，因为它不包括Linux构建器或任何数据库，这将对执法部门和网络安全研究人员更有帮助。

有媒体已经获得了泄露的源代码，并确认其中包含Windows加密器的合法构建器以及附属面板和数据泄漏站点的源代码。

泄露的源代码

构建器的源代码有点乱，Visual Studio项目文件位于“Release”文件夹中，该文件夹通常用于保存编译后的二进制文件和构建工件。

当完成时，使用VanHelsing构建器将需要一些工作，因为它连接回正在运行31.222.238[的附属面板。]208，接收用于构建过程的数据。

构建器使用的Common.h头文件

但是，泄漏还包括附属面板的源代码，附属面板托管api.php端点，因此威胁者可以修改代码或运行他们自己版本的该面板以使构建器工作。

该归档文件还包含Windows加密器的源代码，可用于创建独立构建、解密器和加载器。

VanHelsing加密器源代码

泄露的源代码还显示，威胁者试图构建一个MBR锁柜，该锁柜将用显示锁定消息的自定义引导加载程序替换主引导记录。

VanHelsing MBRLocker源代码

这次泄露并不是勒索软件构建器或加密器源代码第一次在网上泄露，这使得新的勒索软件组织或个人威胁者能够迅速进行攻击。

2021年6月，Babuk勒索软件构建器泄露，允许任何人为Windows和VMware ESXi创建加密和解密器。Babuk漏洞已经成为对VMware ESXi服务器进行攻击的最广泛使用的构建器之一。

2022年3月，Conti勒索软件遭遇数据泄露，其源代码也在网上泄露。其他威胁者很快在他们自己的攻击中使用了这个源代码。

2022年9月，一名声称心怀不满的开发人员泄露了该团队的构建器，导致LockBit勒索软件操作遭到破坏。直到今天，这种方法也被其他威胁者广泛使用。

参考及来源：https://www.bleepingcomputer.com/news/security/vanhelsing-ransomware-builder-leaked-on-hacking-forum/