VanHelsingランサムウェア・アズ・ア・サービスは、アフィリエイト・パネル、データ漏洩ブログ、Windows暗号化ビルダーのソースコードを公開した。
VanHelsingは2025年3月に開始された RaaSで、 Windows、Linux、BSD、ARM、ESXiシステムを標的にする能力を宣伝している。
それ以来、この作戦はある程度の成功を示しており、Ransomware.liveは、このランサムウェア一味の既知の被害者は8人であると述べている。
VanHelsingのソースコードがサイバー犯罪フォーラムに流出
今朝早く、’th30c0der’という偽名を使用した人物が、VanHelsingのアフィリエイトパネルとデータリークTorサイトのソースコード、WindowsとLinuxの暗号化ソフトのビルダーを10,000ドルで売ろうとしていた。
“vanhelsing ransomware source code for sell: include TOR keys + web panel for admin + chat + file server + blog include database everything,” th30c0derはRAMPフォーラムに投稿した。
Emanuele De Luciaによって最初に報告されたように、VanHelsingの運営者は売り手を打ち負かすことに決め、ソースコードを自分たちで公開し、th30c0derは詐欺をしようとしている古い開発者の一人であると述べた。
「VanHelsingの運営者はRAMPに投稿し、「今日、私たちは古いソースコードを公開し、すぐにロッカーの新しく改良されたバージョン(VanHelsing 2.0)で戻ってくることを発表します。
しかし、このリークされたデータは、30c0derが持っていると言っているものと比べると不完全なもので、Linuxビルダーやデータベースが含まれていないため、法執行機関やサイバーセキュリティの研究者にとってははるかに役立つものである。
は、流出したソース・コードを入手し、その中にWindows暗号化装置の正規のビルダーと、アフィリエイト・パネルおよびデータ流出サイトのソース・コードが含まれていることを確認した。
ソース :
ビルダーのソース・コードは多少混乱しており、Visual Studioのプロジェクト・ファイルは、通常コンパイル済みバイナリやビルド成果物を保管するために使用される「Release」フォルダにある。
完全ではあるが、VanHelsingビルダーを使用するには、31.222.238[.]208を実行していたアフィリエイトパネルに接続し、ビルドプロセスに使用されるデータを受け取るため、いくつかの作業が必要である。
ソース :
しかし、このリークには、api.phpエンドポイントをホストするアフィリエイト・パネルのソースコードも含まれているため、脅威行為者は、ビルダーを動作させるために、コードを修正したり、このパネルの独自のバージョンを実行したりすることができる。
このアーカイブには、スタンドアロンビルド、デクリプター、ローダーを作成するために使用できるWindows暗号化器のソースコードも含まれている。
ソースは こちら:
リークされたソースコードは、脅威行為者がマスターブートレコードをロックメッセージを表示するカスタムブートローダーに置き換えるMBRロッカーを構築しようとしていたことも明らかにした。
ソースは こちら:
ランサムウェアのビルダーや暗号化者のソースコードがオンラインで流出したのは今回の流出が初めてではなく、これにより新たなランサムウェア・グループや個々の脅威アクターが迅速に攻撃を実施できるようになりました。
2021年6月、Babukランサムウェア・ビルダーが流出し、WindowsおよびVMware ESXi用の暗号化および復号化ツールを誰でも作成できるようになった。Babukのリークは、VMware ESXiサーバへの攻撃に最も広く使用されるビルダーの1つとなりました。
2022年3月、ランサムウェア「Conti」がデータ侵害を受けた際、そのソースコードもオンライン上に流出した。他の脅威行為者は、このソースコードをすぐに独自の攻撃に使用しました。
2022年9月、LockBitランサムウェアは、不満を抱いたとされる開発者がギャングのビルダーを流出させ、情報漏えいに見舞われました。これもまた、今日に至るまで他の脅威行為者によって広く使われるようになっている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments