В сообществе специалистов по информационной безопасности зафиксирован очередной инцидент, связанный с публикацией исходного кода вредоносного ПО. На этот раз речь идет о партнерской панели ransomware-as-a-service (RaaS) VanHelsing, который активно использовался киберпреступниками с марта 2025 года.
История и функциональность вымогателя
VanHelsing представляет собой многоплатформенное вредоносное ПО, способное атаковать системы под управлением Windows, Linux, BSD, ARM и ESXi. По данным аналитической платформы Ransomware.live, программа-вымогатель успела затронуть как минимум восемь организаций.
Конфликт вокруг публикации исходного кода
Ситуация обострилась после того, как пользователь с никнеймом th30c0der выставил на продажу исходный код панели управления VanHelsing на хакерском форуме RAMP. Начальная цена составляла 10 000 долларов США. В ответ на это операторы вымогателя приняли решение самостоятельно опубликовать исходники, заявив, что продавец является их бывшим разработчиком, пытающимся реализовать устаревшую версию кода.
Технический анализ опубликованного кода
Специалисты Bleeping Computer провели детальное исследование опубликованных материалов и подтвердили их подлинность. В состав утечки входят:
— Windows-билдер вредоносного ПО
— Исходный код партнерской панели управления
— Компоненты сайта для публикации украденных данных
— Код шифровальщика для Windows
— Экспериментальный блокировщик MBR
Потенциальные риски и угрозы
Несмотря на некоторую техническую неупорядоченность кода, опубликованные материалы представляют серьезную угрозу. Злоумышленники могут модифицировать существующий код или развернуть собственную инфраструктуру управления, используя раскрытые компоненты партнерской панели. Особую опасность представляет возможность создания автономных сборок шифровальщика.
Ситуация осложняется тем, что операторы VanHelsing анонсировали разработку новой версии вымогателя (VanHelsing 2.0), что может привести к появлению более совершенных инструментов для проведения кибератак. Специалистам по информационной безопасности рекомендуется внимательно отслеживать развитие ситуации и усилить меры защиты от программ-вымогателей.
