De ransomware-as-a-service operatie VanHelsing heeft de broncode van zijn affiliatepaneel, datalekblog en Windows-encryptorbouwer openbaar gemaakt. Dit gebeurde nadat een voormalige ontwikkelaar had geprobeerd de code te verkopen op het RAMP-cybercrimeforum.
Dit meldt BleepingComputer. VanHelsing begon in maart 2025 en richt zich op systemen met Windows, Linux, BSD, ARM en ESXi. Sinds de lancering heeft de groep enige successen geboekt, met volgens Ransomware.live acht bekende slachtoffers.
Vanochtend vroeg probeerde een gebruiker met het pseudoniem ’th30c0der’ de broncode te verkopen. Hij bood onder meer de Tor-sleutels, het beheerpaneel, een chatfunctie, een bestandserver en de database aan voor 10.000 dollar.
VanHelsing 2.0 volgt binnenkort
Volgens beveiligingsonderzoeker Emanuele De Lucia besloten de VanHelsing-operators de code zelf te publiceren. Ze gaven aan dat th30c0der een voormalige ontwikkelaar is die anderen probeert op te lichten. In hun bericht stelden ze ook binnenkort terug te keren met een verbeterde versie: VanHelsing 2.0.
De gelekte data is echter minder compleet dan wat th30c0der beweert te bezitten. Zo ontbreken de Linux-bouwer en databases, die waardevol zouden zijn voor opsporingsdiensten en beveiligingsonderzoekers.
BleepingComputer heeft toegang gekregen tot de gelekte bestanden en bevestigt dat de Windows-bouwer en de broncode voor het affiliatepaneel en het datalekplatform echt zijn. De broncode van de bouwer is rommelig opgebouwd: de Visual Studio-projectbestanden staan in de Release-map, die normaal voor gecompileerde bestanden bedoeld is.
Hoewel functioneel, vereist het gebruik van de bouwer extra stappen. Het systeem verbindt namelijk met het affiliatepaneel op IP-adres 31.222.238[.]208 om gegevens op te halen. Omdat de broncode van dit paneel ook in het lek zit, kunnen kwaadwillenden de code aanpassen of hun eigen versie draaien om de bouwer werkend te krijgen.
Het archief bevat ook de broncode van de Windows-encryptor, waarmee een losstaande versie gebouwd kan worden, evenals een decryptor en een loader. Uit de bestanden blijkt verder dat de groep werkte aan een MBR-locker die het master boot record vervangt en een vergrendelingsbericht toont bij het opstarten.
Broncode ransomware vaker gelekt
Dit is niet de eerste keer dat de broncode van een ransomware-bouwer uitlekt. In juni 2021 gebeurde iets soortgelijks met Babuk, wat leidde tot wijdverspreid gebruik op onder meer VMware ESXi-servers. In maart 2022 werd de broncode van Conti na een datalek openbaar. En in september van datzelfde jaar lekte de builder van LockBit, vermoedelijk door een ontevreden ontwikkelaar.