Η επιχείρηση VanHelsing Ransomware-as-a-Service δημοσίευσε τον πηγαίο κώδικα για τον πίνακα θυγατρικών του, το blog διαρροής δεδομένων και τον οικοδόμο κρυπτογράφων των Windows, αφού ένας παλιός προγραμματιστής προσπάθησε να το πουλήσει στο φόρουμ εγκληματικότητας RAMP.
Το VanHelsing είναι μια επιχείρηση RAAS που ξεκίνησε τον Μάρτιο του 2025, προωθώντας τη δυνατότητα στοχεύοντας συστήματα Windows, Linux, BSD, ARM και ESXI.
Από τότε, η λειτουργία έχει δείξει κάποια επιτυχία, με Ransomware.live Δηλώνοντας ότι υπάρχουν οκτώ γνωστά θύματα για τη συμμορία ransomware.
Ο πηγαίος κώδικας VanHelsing διαρρέει στο φόρουμ του εγκλήματος στον κυβερνοχώρο
Νωρίς σήμερα το πρωί, ένα άτομο που χρησιμοποίησε το ψευδώνυμο ‘TH30C0DER’ προσπάθησε να πουλήσει τον πηγαίο κώδικα για τον πίνακα θυγατρικών VanHelsing και τις τοποθεσίες διαρροής δεδομένων, καθώς και τους κατασκευαστές για τους κρυπτογραφητές Windows και Linux, για $ 10.000.
“VanHelsing Ransomware Πηγής Κωδικός για Πώληση: Συμπεριλάβετε το TOR Keys + Web Panel για διαχειριστή + συνομιλία + διακομιστής αρχείων + Blog περιλαμβάνουν τα πάντα”, το TH30C0DER δημοσιεύτηκε στο φόρουμ RAMP.
Όπως αναφέρθηκε για πρώτη φορά από Emanuele de Luciaοι φορείς εκμετάλλευσης VanHelsing αποφάσισαν να νικήσουν τον πωλητή για να γροθιά, απελευθερώνοντας τον ίδιο τον πηγαίο κώδικα και δηλώνοντας ότι το TH30C0DER είναι ένας από τους παλιούς προγραμματιστές τους που προσπαθούν να εξαπατήσουν τους ανθρώπους.
“Σήμερα ανακοινώνουμε ότι δημοσιεύουμε τους κωδικούς Παλαιών Πηγών και σύντομα θα επανέλθουμε με τη νέα και βελτιωμένη έκδοση του Locker (VanHelsing 2.0),” ο φορέας εκμετάλλευσης VanHelsing δημοσιεύτηκε στη Ramp.
Ωστόσο, αυτά τα δεδομένα διαρροής είναι ελλιπή σε σύγκριση με αυτό που το 30C0DER λέει ότι έχουν, καθώς δεν περιλαμβάνει τον οικοδόμο Linux ή οποιεσδήποτε βάσεις δεδομένων, οι οποίες θα ήταν πολύ πιο χρήσιμες για τους ερευνητές της επιβολής του νόμου και της ασφάλειας στον κυβερνοχώρο.
Ο BleepingComputer έχει λάβει τον πηγαίο κώδικα που διαρρέει και έχει επιβεβαιώσει ότι περιέχει τον νόμιμο οικοδόμο για τον κρυπτογραφητή των Windows και τον πηγαίο κώδικα για τον πίνακα θυγατρικών και τη θέση διαρροής δεδομένων.
Πηγή: BleepingComputer
Ο πηγαίος κώδικας του οικοδόμου είναι κάπως χάος, με τα αρχεία του έργου Visual Studio που βρίσκονται στο φάκελο “Release”, το οποίο χρησιμοποιείται συνήθως για τη συγκράτηση των αρχείων και την κατασκευή αντικειμένων.
Ενώ είναι πλήρης, η χρήση του οικοδόμου VanHelsing θα απαιτήσει κάποια εργασία, καθώς συνδέεται πίσω στον πίνακα θυγατρικών, ο οποίος εκτελείται 31.222.238[.]208, για να λαμβάνετε δεδομένα που χρησιμοποιούνται για τη διαδικασία δημιουργίας.
Πηγή: BleepingComputer
Ωστόσο, η διαρροή περιλαμβάνει επίσης τον πηγαίο κώδικα για τον πίνακα θυγατρικών, ο οποίος φιλοξενεί το τελικό σημείο API.php, έτσι ώστε οι ηθοποιοί απειλών να μπορούν να τροποποιήσουν τον κώδικα ή να εκτελέσουν τη δική τους έκδοση αυτού του πίνακα για να λειτουργήσουν ο οικοδόμος.
Το αρχείο περιέχει επίσης τον πηγαίο κώδικα για τον κρυπτογραφητή των Windows, ο οποίος μπορεί να χρησιμοποιηθεί για τη δημιουργία αυτόνομης κατασκευής, του αποκρυπτογράφου και ενός φορτωτή.
Πηγή: BleepingComputer
Ο πηγαίος κώδικας που διαρρέει επίσης αποκάλυψε ότι οι ηθοποιοί απειλών προσπαθούσαν να δημιουργήσουν ένα ντουλάπι MBR που θα αντικαταστήσει το κύριο αρχείο εκκίνησης με ένα προσαρμοσμένο bootloader που εμφανίζει ένα μήνυμα κλειδώματος.
Πηγή: BleepingComputer
Αυτή η διαρροή δεν είναι η πρώτη φορά που ένας κώδικας Ransomware Builder ή Encryptor έχει διαρρεύσει στο διαδίκτυο, ο οποίος επέτρεψε νέες ομάδες ransomware ή μεμονωμένους φορείς απειλής να διεξάγουν γρήγορα επιθέσεις.
Τον Ιούνιο του 2021, ο κατασκευαστής Ransomware Babuk διαρρέει, επιτρέποντας σε οποιονδήποτε να δημιουργήσει κρυπτογραφητές και αποκρυπτογραφητές για Windows και VMware ESXI. Η διαρροή Babuk έχει γίνει ένας από τους πιο ευρέως χρησιμοποιούμενους κατασκευαστές για τη διεξαγωγή επιθέσεων σε διακομιστές ESXI VMware.
Τον Μάρτιο του 2022, όταν η λειτουργία Ransomware Conti υπέστη παραβίαση δεδομένων, ο πηγαίος κώδικας του διαρρεύσει επίσης στο διαδίκτυο. Άλλοι ηθοποιοί απειλών χρησιμοποίησαν γρήγορα αυτόν τον πηγαίο κώδικα στις δικές τους επιθέσεις.
Τον Σεπτέμβριο του 2022, η λειτουργία Ransomware Lockbit υπέστη παραβίαση όταν ένας φερόμενος δυσαρεστημένος προγραμματιστής διέφυγε από τον οικοδόμο της συμμορίας. Και αυτό έχει χρησιμοποιηθεί ευρέως από άλλους ηθοποιούς απειλής μέχρι σήμερα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
