VanHelsing勒索软件即服务（RaaS）源代码泄露事件

2025年3月推出的VanHelsing RaaS是一项新兴勒索软件业务宣称支持针对Windows、Linux、BSD、ARM以及ESXi系统的多平台攻击。自推出以来该团伙已取得一定进展据Ransomware.live跟踪数据显示目前已知受害者数量为8个。前开发者试图出售源代码引发泄露本周一名化名为“th30c0der”的用户在知名网络犯罪论坛RAMP上发帖以1万美元的价格试图出售 VanHelsing 的附属联属面板、数据泄露博客Tor站点以及 Windows 和 Linux 加密器生成器的源代码。其帖文称“出售 VanHelsing 勒索软件源代码包含 TOR 密钥 管理 Web 面板 聊天 文件服务器 博客含数据库一切在内。”VanHelsing 运营商的反制自行发布旧版源代码VanHelsing 运营商迅速做出回应直接在 RAMP 论坛上公布了部分源代码并声称出售者是他们的“旧开发者”试图通过这种方式破坏交易。他们表示“今天我们宣布发布旧源代码很快将推出改进版锁定器VanHelsing 2.0。”此举被视为“焦土策略”旨在阻止前开发者获利同时向社区展示控制权。VanHelsing ransomware builder leaked on hacking forum泄露内容的实际情况与 th30c0der 宣称的完整包相比泄露的源代码并不完整缺少 Linux 构建器和数据库这对执法部门和安全研究人员而言价值相对有限。媒体已获取并验证泄露内容主要包括Windows 加密器的合法构建器附属面板含 api.php 端点的源代码数据泄露站点的源代码Ransomware Roundup – VanHelsing | FortiGuard Labs构建器与面板技术细节构建器的源代码较为混乱Visual Studio 项目文件被放在通常用于存放编译后二进制文件的“Release”文件夹中。使用该构建器需要额外工作因为它会连接回当时运行在31.222.238.208的附属面板以获取构建过程所需的数据。不过泄露中包含了附属面板的完整源代码威胁者可自行修改或部署自己的版本使构建器正常工作。此外泄露还包含Windows 加密器的源代码可用于生成独立构建、解密器和加载器。Ransomware targeting VMware ESXi - OVHcloud Blog泄露的Common.h头文件等代码片段显示了加密逻辑的实现细节。MBR 锁定器尝试值得注意的是源代码中还出现了MBR Locker主引导记录锁定器的早期开发痕迹。该功能旨在用自定义引导加载程序替换主引导记录并在启动时显示锁定消息。Ransomware Roundup – VanHelsing | FortiGuard Labs历史类似事件源代码泄露的连锁效应这并非勒索软件源代码首次在网上泄露此类事件往往会加速新威胁组织的崛起2021年6月Babuk 勒索软件构建器泄露成为针对 VMware ESXi 服务器的最常用工具之一。2022年3月Conti 勒索软件源代码在数据泄露后公开被其他团伙快速复用。2022年9月LockBit 因不满开发者泄露构建器而遭受打击其代码至今仍被广泛使用。VanHelsing 的此次泄露同样可能降低新手攻击者的门槛增加未来针对多平台的勒索软件攻击风险。安全建议企业应加强多平台备份策略、及时打补丁并采用行为检测等防御措施以应对此类不断演化的 RaaS 威胁。