Recentemente, a comunidade de cibersegurança foi abalada pela exposição pública do código-fonte do construtor de ransomware VanHelsing. Este incidente, que ocorreu após um desenvolvedor antigo tentar comercializar o material em um fórum de hackers, levanta preocupações significativas sobre a proliferação de ferramentas maliciosas e os desafios contínuos na luta contra o cibercrime.
O vazamento do construtor de ransomware VanHelsing: Implicações e o futuro da cibersegurança
Uma operação de ransomware em destaque
Lançada em março de 2025, a VanHelsing é uma operação de “ransomware como serviço” (RaaS) que rapidamente ganhou notoriedade. Conhecida por sua capacidade de infectar uma variedade de sistemas operacionais, incluindo Windows, Linux, BSD, ARM e ESXi, a gangue já havia contabilizado pelo menos oito vítimas confirmadas, conforme dados do Ransomware.live. A eficácia da VanHelsing a posicionou como uma ameaça relevante no cenário de ataques cibernéticos.
A tentativa de venda e a resposta dos operadores
O vazamento teve início quando um indivíduo, utilizando o pseudônimo ‘th30c0der’, tentou vender o código-fonte do painel de afiliados da VanHelsing, seus sites de vazamento de dados na rede Tor, e os construtores de criptografadores para Windows e Linux, por um valor de US$ 10.000 no fórum RAMP.
Em uma reviravolta inesperada, os próprios operadores da VanHelsing decidiram divulgar o código-fonte, alegando que ‘th30c0der’ era um ex-desenvolvedor agindo por conta própria. Eles anunciaram a publicação dos “códigos-fonte antigos” e prometeram o lançamento iminente de uma “versão nova e melhorada do armário (VanHelsing 2.0)”, em um aparente esforço para descredibilizar o vendedor e controlar a narrativa.
Análise do material vazado
Embora o material divulgado pelos operadores da VanHelsing seja substancial, ele se mostrou incompleto em comparação com o que ‘th30c0der’ afirmava possuir, faltando o construtor para Linux e quaisquer bancos de dados que poderiam ser cruciais para investigações policiais e pesquisas em segurança.
No entanto, a BleepingComputer confirmou a autenticidade do código-fonte vazado, que inclui o construtor legítimo para o criptografador do Windows, bem como o código-fonte para o painel de afiliados e o site de vazamento de dados. Embora o construtor necessite de adaptações, uma vez que se conecta ao painel de afiliados para dados essenciais no processo de compilação, o vazamento do código do painel de afiliados permite que agentes maliciosos o modifiquem ou operem sua própria versão para fazer o construtor funcionar.
O código-fonte também revelou tentativas dos agentes da ameaça de desenvolver um “bloqueador MBR” que substituiria o registro mestre de inicialização por um bootloader personalizado, exibindo uma mensagem de bloqueio. Além disso, o vazamento inclui o código-fonte do criptografador do Windows, possibilitando a criação de compilações autônomas, descriptografadores e carregadores.
Precedentes e o impacto no ecossistema de ameaças
Este não é o primeiro caso de vazamento de código-fonte de construtores de ransomware ou criptografadores. Históricos como o vazamento do construtor do ransomware Babuk em junho de 2021, que se tornou amplamente utilizado para ataques a servidores VMware ESXi, e a exposição do código-fonte do Conti em março de 2022, que foi rapidamente cooptado por outros cibercriminosos, mostram um padrão preocupante. Mais recentemente, em setembro de 2022, a operação LockBit também sofreu um vazamento de seu construtor, que continua sendo uma ferramenta popular entre os criminosos.
Esses vazamentos permitem que novos grupos de ransomware e agentes de ameaças individuais lancem ataques com uma velocidade sem precedentes, aproveitando códigos já desenvolvidos e testados. A disponibilidade de ferramentas de ransomware prontas para uso diminui a barreira de entrada para o cibercrime, tornando essencial que empresas e indivíduos permaneçam vigilantes e invistam em medidas de segurança robustas.
