Filtración del código fuente de VanHelsing

La operación de ransomware como servicio (RaaS) VanHelsing ha filtrado públicamente su código fuente, incluyendo su panel de afiliados, blog de filtración de datos y constructor de encriptadores para Windows, tras un intento de venta no autorizado por parte de un exdesarrollador en el foro de ciberdelincuencia RAMP.

VanHelsing: una nueva amenaza en el ecosistema RaaS

Lanzado en marzo de 2025, VanHelsing RaaS promociona su capacidad para atacar múltiples plataformas, incluidos Windows, Linux, BSD, sistemas ARM y servidores VMware ESXi. Desde su aparición, ha sido responsable de al menos ocho ataques confirmados, según el portal especializado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Intento de venta en el foro RAMP desencadena la filtración

En la madrugada del 21 de mayo, un usuario bajo el alias 'th30c0der' intentó vender el código fuente de la infraestructura de VanHelsing por $10.000 USD. La oferta incluía:

• Claves TOR
• Panel web de administración
• Sistema de chat y servidor de archivos
• Blog de fuga de datos
• Constructor de encriptadores para Windows y Linux
• Base de datos

El anuncio, publicado en el foro RAMP, provocó una reacción inmediata por parte de los operadores legítimos de VanHelsing, quienes acusaron al vendedor de ser un antiguo miembro del equipo que intentaba estafar a otros actores de amenazas.

Como respuesta, el grupo decidió liberar el código fuente por su cuenta, asegurando que pronto lanzarán una nueva versión, denominada VanHelsing 2.0.

¿Qué incluye el código fuente filtrado?

El sitio de ciberseguridad BleepingComputer analizó el contenido filtrado y confirmó que incluye:

• El código fuente del encriptador para Windows.
• El panel de afiliados, con su punto final api.php.
• Un descifrador y un cargador (loader).

Elementos de un bloqueador de MBR, diseñado para sobrescribir el registro de arranque maestro con un cargador que muestra un mensaje de bloqueo.

No obstante, el material no incluye el constructor para Linux ni bases de datos completas, lo que limita su utilidad para investigadores de ciberseguridad y agencias de aplicación de la ley.

Análisis técnico del constructor de VanHelsing

El código presenta una estructura desordenada, con archivos de proyecto de Visual Studio ubicados en la carpeta "Release", que normalmente se reserva para binarios ya compilados. El constructor de ransomware necesita conectarse al panel de afiliados, previamente alojado en 31.222.238[.]208, para recopilar la información requerida para la compilación de los encriptadores.

Sin embargo, dado que también se filtró el código del panel de afiliados, los actores de amenazas podrían modificar el código fuente o desplegar sus propias versiones funcionales del sistema.

La historia se repite: filtraciones anteriores de código fuente de ransomware

Esta no es la primera vez que se filtra el código fuente de una operación de ransomware. Casos similares han tenido un impacto considerable en la evolución del malware:

• Babuk (junio 2021): Su constructor filtrado facilitó la creación de encriptadores para Windows y VMware ESXi, convirtiéndose en una de las bases más usadas por nuevos grupos.
• Conti (marzo 2022): La filtración del código tras una brecha interna permitió a otros actores lanzar sus propias variantes de este ransomware.
• LockBit (septiembre 2022): Un desarrollador descontento divulgó el constructor de la banda, el cual ha sido reutilizado extensamente por diversos grupos criminales.

Implicaciones de seguridad

La filtración del código fuente de VanHelsing representa una amenaza significativa, ya que reduce la barrera técnica para que ciberdelincuentes menos sofisticados puedan lanzar sus propias campañas de ransomware. También complica la labor de defensa de las empresas, al multiplicarse las variantes de malware basadas en este código.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta