Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   В сеть попал билдер вымогательской малвари VanHelsing (http://txgate.io:443/showthread.php?t=51297300)

WWW 05-26-2025 12:03 PM
<div id="post_message_792733">

Исходный код партнерской панели RaaS-малвари (ransomware-as-a-service, «вымогатель как услуга») VanHelsing был опубликован в открытом доступе. Незадолго до этого бывший разработчик попытался продать исходники на хак-форуме RAMP.<br/>
<br/>
Вымогатель VanHelsing был запущен в марте 2025 года и его создатели заявляли, что он способен атаковать системы на базе Windows, Linux, BSD, ARM и ESXi. По данным <a href="https://www.ransomware.live/group/VanHelsing" target="_blank">Ransomware.live</a>, с тех пор от атак вымогателя пострадали не менее восьми жертв.<br/>
<br/>
Ранее на этой неделе некто под ником th30c0der попытался продать в даркнете исходный код партнерской панели и сайтов VanHelsing, а также сборки шифровальщиков для Windows и Linux. Цену предлагалось определить на аукционе со стартовой ставкой 10 000 долларов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512764/builder-for-sale.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Продаю исходный код vanhelsing ransomware: включены TOR ключи + веб-панель администратора + чат + файловый сервер + блог, включая все БД», — писал th30c0der на хак-форуме RAMP.</font>
</td>
</tr>
</table>
</div>Оданко, как <a href="https://x.com/Manu_De_Lucia/status/1924792567461294492" target="_blank">сообщил </a>ИБ-исследователь Эмануэль Де Люсия (Emanuele De Lucia), операторы VanHelsing решили опередить продавца, и сами обнародовали исходный код вымогателя. Также они заявили, что th30c0der — это один из их бывших разработчиков малвари, пытающийся обмануть людей и продать старые исходники.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512764/vanhelsing-leaking-source-code.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Сегодня мы объявляем о том, что публикуем старые исходные коды и скоро вернемся с новой и улучшенной версией локера (VanHelsing 2.0)», — сообщили операторы VanHelsing на RAMP.</font>
</td>
</tr>
</table>
</div>В ответ на это th30c0der заявил, что его информация более полная, так как разработчики VanHelsing не опубликовали Linux-билдер и какие-либо БД, что могло бы особенно пригодиться правоохранительным органам и ИБ-исследователям.<br/>
<br/>
Журналисты издания <a href="https://www.bleepingcomputer.com/news/security/vanhelsing-ransomware-builder-leaked-on-hacking-forum/" target="_blank">Bleeping Computer</a> изучили опубликованные исходники и подтвердили, что те содержат настоящий билдер для Windows-версии малвари, а также исходный код для партнерской панели и сайта для «слива» данных.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512764/folders.jpg"/><br/>
<br/>
По словам исследователей, в исходном коде билдера царит беспорядок, а файлы Visual Studio размещены в папке Release, которая обычно используется для хранения скомпилированных бинарников и артефактов сборки.<br/>
<br/>
Также отмечается, что использование билдера VanHelsing требует некоторой дополнительной работы, так как он подключается к партнерской панели по адресу 31.222.238[.]208 для получения данных. Учитывая, что дамп содержит исходный код панели, где находится эндпоинт api.php, злоумышленники могут изменить код или запустить собственную версию панели, чтобы заставить билдер работать.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512764/builder-c2.jpg"/><br/>
<br/>
Кроме того, в опубликованном архиве содержится исходный код шифровальщика для Windows, который может использоваться для создания автономной сборки, расшифровщика и загрузчика.<br/>
<br/>
Помимо прочего издание отмечает, что злоумышленники, судя по всему, пытались создать блокировщик MBR, который подменял бы главную загрузочную запись кастомным загрузчиком, показывающим сообщение о блокировке.<br/>
<br/>
<a href="https://xakep.ru/2025/05/21/vanhelsing-leak/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 08:51 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.