A operação de ransomware como serviço (RaaS) VanHelsing publicou o código-fonte de seu painel de afiliados, blog de vazamento de dados e do construtor de criptografadores para Windows após um ex-desenvolvedor tentar vendê-lo no fórum RAMP. Lançada em março de 2025, a operação afirma ser capaz de atingir sistemas Windows, Linux, BSD, ARM e ESXi, e tem oito vítimas conhecidas, segundo o Ransomware.live.
Leia também
Samsung corrige falha crítica MagicINFO 9, Mirai explora
Windows 11 violado várias vezes no Pwn2Own 2025
O usuário ‘th30c0der’ tentou vender o código-fonte por US$ 10 mil, incluindo sites em rede Tor, painel administrativo, servidor de arquivos e banco de dados. Após a tentativa, os próprios operadores do VanHelsing publicaram parte do material, alegando que o vendedor é um ex-integrante tentando enganar compradores. Eles anunciaram também o lançamento futuro da versão 2.0 da ferramenta.
O BleepingComputer analisou os arquivos publicados e confirmou que o vazamento inclui o construtor legítimo do criptografador do Windows e os códigos-fonte do painel de afiliados e do blog de vazamentos. No entanto, os arquivos estão desorganizados e incompletos: o construtor Linux e bancos de dados não foram incluídos. O funcionamento pleno exige conexão com o painel de afiliados, mas como o código do painel também foi vazado, possíveis atacantes podem adaptá-lo.
Além disso, o pacote contém o criptografador do Windows, um descriptografador e um carregador. Há também uma tentativa de desenvolver um bloqueador de MBR que substituiria o registro mestre de inicialização por um carregador personalizado com uma mensagem de bloqueio. Vazamentos anteriores semelhantes, como os casos dos grupos Babuk (2021), Conti (2022) e LockBit (2022), também contribuíram para novos ataques baseados em ferramentas divulgadas.
