VanHelsing-ransomwaregroep deelt broncode van ransomware op forum

De ransomware-as-a-servicegroep VanHelsing heeft de broncode van zijn affiliatepaneel en zijn Windows-encryptorbuilder gedeeld op een blog waar data wordt gelekt. Een andere persoon probeerde de broncode te verkopen, waarop de groep besloot deze zelf te delen.

Een persoon met de alias 'th30c0der' probeerde allerlei materialen van de criminele groep te verkopen voor 10.000 dollar, schrijft Bleeping Computer. De persoon stelt dat het gaat om broncode van de ransomware, waaronder Tor-sleutels, het webpaneel voor beheerders, chats, de bestandsserver en de datalekblog.

Volgens de mensen achter VanHelsing gaat het om een voormalige ontwikkelaar die mensen probeert op te lichten. De groepering besloot hem voor te zijn en zelf de broncodes te publiceren. "Vandaag kondigen we aan dat we de oude broncodes publiceren en binnenkort terugkeren met een nieuwe en verbeterde versie van de locker (VanHelsing 2.0)", aldus de groep. De data is echter incompleet in vergelijking met wat th30c0der zegt te hebben. Zo zit er geen Linux-builder bij en ook geen databases.

Bleeping Computer heeft de gelekte broncode in handen gekregen en bevestigt dat de gegevens legitiem zijn. De builder werkt, maar vereist wel wat extra stappen. Daarnaast is er broncode van de Windows-encryptor beschikbaar, waarmee een losstaande versie gebouwd kan worden, evenals een decryptor en een loader.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 22-05-2025 08:25 22

22-05-2025 • 08:25

22

Lees meer

Belastingdienst Curaçao is maandag weer operationeel na ransomwareaanval
Belastingdienst Curaçao is maandag weer operationeel na ransomwareaanval Nieuws van 2 augustus 2025
AP: datadiefstal bij ransomware verdubbelde bijna in 2024
AP: datadiefstal bij ransomware verdubbelde bijna in 2024 Nieuws van 3 juli 2025
Google: hackers gebruikten Calendar om geïnfecteerde systemen te beheren
Google: hackers gebruikten Calendar om geïnfecteerde systemen te beheren Nieuws van 30 mei 2025
Klantendata Adidas gestolen via externe serviceprovider
Klantendata Adidas gestolen via externe serviceprovider Nieuws van 27 mei 2025
Gehackte leverancier betaalt losgeld, scholen VS nu individueel afgeperst
Gehackte leverancier betaalt losgeld, scholen VS nu individueel afgeperst Nieuws van 8 mei 2025
Ransomwaregroepering LockBit is zelf slachtoffer van hack
Ransomwaregroepering LockBit is zelf slachtoffer van hack Nieuws van 8 mei 2025
Hitachi haalt proactief Vantara-clouddienst offline na ransomwareaanval
Hitachi haalt proactief Vantara-clouddienst offline na ransomwareaanval Nieuws van 29 april 2025
Ahold waarschuwt duizenden medewerkers na datadiefstal
Ahold waarschuwt duizenden medewerkers na datadiefstal Nieuws van 23 april 2025
Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken
Hackers dreigen data van Ahold die in november gestolen werd openbaar te maken Nieuws van 17 april 2025
Overheid VS: 'fast flux' vormt nationale bedreiging voor cyberveiligheid
Overheid VS: 'fast flux' vormt nationale bedreiging voor cyberveiligheid Nieuws van 4 april 2025
Incident bij Openbaar Ministerie was storing en geen hack
Incident bij Openbaar Ministerie was storing en geen hack Nieuws van 29 maart 2025
Universiteit Maastricht krijgt ransomwarelosgeld na vijf jaar met 'winst' terug
Universiteit Maastricht krijgt ransomwarelosgeld na vijf jaar met 'winst' terug Nieuws van 26 maart 2025
Meer producten en artikelen
Beveiliging en antivirus Criminaliteit Cybercrime Ransomware

Reacties (22)

-Moderatie-faq
22
22
14
2
0
8
Wijzig sortering
Drwho1 22 mei 2025 08:45
Volgens de mensen achter VanHelsing gaat het om een voormalige ontwikkelaar die mensen probeert op te lichten.
Hier moet je even bij stilstaan. De ransomwaregroep, gijzelnemers dus, beschuldigen een voormalig 'partner in crime' van oplichting. Dus in een alternatief universum zou je kunnen zeggen dat de groepering in dit verhaal de prins op het witte paard is die andere louche types probeert te beschermen tegen een oplichter.

Qua ironie kan dit tellen.
Remzi1993 @Drwho122 mei 2025 10:31
Inderdaad, criminele die een andere crimineel uit hun groep hebben gezet. Er is een Engelse uitdrukking: "There is no honour among thieves".
Ro-Maniak2 @Remzi199322 mei 2025 11:09
Nou ja het tegenovergestelde spreekwoord bestaat ook: https://www.usingenglish....tish%20English%20version.)

En dat lijkt hier aan de hand. We persen iedereen af en maken crimineel hun data onbruikbaar maar hé! Je gaat toch niet je mede-criminelen oplichten??
pvdheu 22 mei 2025 08:52
"Volgens de mensen achter VanHelsing gaat het om een voormalige ontwikkelaar die mensen probeert op te lichten."

Iets met pot en ketel ... :D
watercoolertje @pvdheu22 mei 2025 09:21
Nou nee, wat hun zelf doen is geen oplichting maar afpersing. Net zo vervelend maar niet hetzelfde.
ZwolschBalletje @watercoolertje22 mei 2025 10:13
Die oplichting is alleen maar hoe VanHelsing hun oud medewerker beschrijft, mogelijk om potentiële kopers af te schrikken (ga niet in op zijn deal, je wordt opgelicht!) en zo verspreiding van hun 'IP' tegen te gaan.
Bleeping Computer heeft echter de gelekte/aangeboden bestanden bekeken en bevestigd dat die legitimate waren. Dan is de voormalige medewerker dus niet meer zijn eigen klanten aan het oplichten zoals VanHelsing suggereert, maar 'gewoon' heling aan het plegen.

Dit alles (inclusief de inzage die Bleeping Computer kreeg in de gestolen/aangeboden waren en het tegenoffensief van VH om delen zelf openbaar te maken) lijkt sterk op een goed georganiseerde marketing-campagne van beide kanten. De onschuldige internetgebruiker is de lachende derde, want er wordt nu weer iets zichtbaar van de attack vectors die in ontwikkeling waren. Ook al is het in het artikel heel algemeen omschreven, het biedt weer aanknopingspunten voor de cybersecurity-community.

Bleeping Computer:
The leaked source code also revealed that the threat actors were attempting to build an MBR locker that would replace the master boot record with a custom bootloader that displays a lock message.

[Reactie gewijzigd door ZwolschBalletje op 22 mei 2025 10:14]

Remzi1993 @ZwolschBalletje22 mei 2025 10:33
Heling? Heling is wanneer je iets doorverkoopt dat gestolen is. De software is niet gestolen want het was al illegaal wat ze deden.
Ro-Maniak2 @Remzi199322 mei 2025 11:10
Nope, je kan iets wat illegaal is verkregen wel degelijk stelen en helen.
Die_ene_gast @Remzi199322 mei 2025 12:56
Dus illegale dingen kan je niet stelen?
Remzi1993 @Die_ene_gast22 mei 2025 13:06
Ja, maar wordt dat ook heling genoemd?
Reactor4 @Remzi199322 mei 2025 13:56
Diefstal is het wegnemen van een goed (ook digitale goederen) met het oogmerk je dit wederrechtelijk toe te eigenen.
Of de eigenaar van dat goed zich met illegale praktijken bezig hield is niet relevant.
Bergen @watercoolertje22 mei 2025 09:53
Ja, afpersing ("maak x bitcoin over, anders publiceren we jullie klantenbestand") en gijzeling ("maak x bitcoin over, dan krijg je je bureaublad weer terug")
Peahimaui 22 mei 2025 08:31
Dit lijkt mij toch een fijne ontwikkeling? Hackers die hackers proberen op te lichten.
GeeBee @Peahimaui22 mei 2025 08:46
Aan de ene kant ja.
Aan de andere kant is het openlijk beschikbaar zijn van dergelijke broncode niet fijn omdat dan elke prutser met z’n eigen versie aan de slag kan.
segil @GeeBee22 mei 2025 09:05
ik denk dat gemiddelde prutser hier weinig mee kan, omdat het niet kant-klaar is.
Die_ene_gast @GeeBee22 mei 2025 12:59
De gemiddelde scriptkiddie kan niets.
sh4d0wman @GeeBee25 mei 2025 10:52
Ach, bleepingcomputer en de diverse AV bedrijven publiceren vaak malware onderzoeken. Met de info daar uit + AI kom je vaak ook al een heel eind. Zelfs 0-days kun je zo vrij snel naar PoC vertalen als je enige ervaring/kennis hebt.

Aldus een vriend.. :+
RadYeon @Peahimaui22 mei 2025 08:38
Oftewel, "the enemy of my enemy is my friend" :)
WillySis @Peahimaui22 mei 2025 09:48
Misdadigers die elkaar bedreigen, oplichten enz. is zo oud als de misdaad zelf. Dat hackers elkaar hacken en proberen op te lichten zal ook vast niet nieuw zijn. Het enige wat nieuw is dat een ransomware groep nu in de publiciteit meld dat ze te maken hebben met een oplichter.
Mosterd 22 mei 2025 08:29
Teamkill anyone 🤣
sircampalot 22 mei 2025 13:34
binnenkort terugkeren met een nieuwe en verbeterde versie van de locker (VanHelsing 2.0)
Die zien we dan vast terug in de meuktracker met changelogs enzo
kuurtjes 23 mei 2025 00:40
Als ze het op deze manier releasen dan zal de persoon wel degelijk iets echt aan het verkopen zijn en dus geen oplichter zijn. Misschien is het iemand die hun heeft opgelicht.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq