Esta vez el 'cazador de vampiros' parece haber sido 'cazado'. La operación de ransomware como servicio VanHelsing ha publicado el código fuente de su panel de afiliados, su blog de filtración de datos y su generador de cifrador de Windows.
El grupo ha tomado esta decisión después de que un antiguo desarrollador tratara de venderlo en el foro de ciberdelitos RAMP. Esta persona usa el alias 'th30c0der'.
Por todo este pack que incluía además los constructores de los cifrados de Windows y Linux del ransomware el ciberdelincuente pedía 10.000 dólares.
Los operadores de VanHelsing quisieron adelantarse al vendedor, publicando ellos mismos todos estos detalles y reconociendo que th30c0der era uno de los antiguos desarrolladores que busca estafar a la gente.
VanHelsing es una operación de ransomware as a service (RaaS) que se lanzó en marzo y que promueve la capacidad de apuntar a sistemas Windows, Linux, BSD, ARM y ESXi.
La firma de ciberseguridad Check Point Research informaba en marzo sobre la existencia de esta nueva herramienta que se lanzó el pasado 7 de marzo.
"Con un panel de control intuitivo y actualizaciones frecuentes, VanHelsing se está convirtiendo en una poderosa herramienta para los ciberdelincuentes", comentaba el equipo de la compañía.
Con solo dos semanas de existencia esta operación ya la 'liaba parda', causando daños significativos, infectando a múltiples víctimas y exigiendo cuantiosos rescates. En este intervalo ya infectaba a tres víctimas conocidas. A una de las víctimas le pidieron el pago de medio millón de dólares a una billetera Bitcoin específica.
Los operadores de este Raas suelen quedarse un 20% de los ingresos del rescate, cediendo a los afiliados el 80% restante.
En estos meses se calcula que VanHelsing habría dejado 8 víctimas conocidas a su paso.
Otras filtraciones de código fuente
No se trata de la primera vez que se filtra online el código fuente de un generador de ransomware o de un cifrador, permitiendo a nuevos grupos o actores de amenazas individuales realizar ataques rápidamente.
En junio de 2021 se filtró el generador de ransomware Babuk, permitiendo a cualquiera crear cifradores y descifradores para Windows y VMware EsXi.
En marzo de 2022, tras una filtración de datos, el código fuente del ransomware Conti también quedó expuesto. Otros actores de amenazas rápidamente lo usaron en sus propios ataques.
Seis meses después le tocó el turno a LockBit. Un desarrollador descontento filtró el programa de creación de la banda, dando alas a otros cibermalos a hacer uso de esta herramienta.