VanHelsing Kaynak Kodu Siber Suç Forumunda Sızdı
VanHelsing, Mart 2025’te başlatılan Ransomware-as-a-Service (RaaS) operasyonudur. İşletim sistemleri arasında Windows, Linux, BSD, ARM ve ESXi sistemlerine saldırı yapabilme yeteneği ile dikkat çekmektedir. Bu operasyon, eski bir geliştiricinin kaynak kodunu RAMP siber suç forumunda satmaya çalışmasının ardından, yan kuruluş panelinin, veri sızıntısı blogunun ve Windows şifreleyici oluşturucusunun kaynak kodunu yayınlamıştır.
Kaynak Kodu Satış Çabası İfşa Oldu
Bugün sabah erken saatlerde, "th30c0der" takma adıyla tanınan bir kişi, VanHelsing’in yan kuruluş panelinin ve veri sızıntısı Tor sitelerinin kaynak kodunu, ayrıca Windows ve Linux şifreleyici oluşturucularının kaynak kodunu 10.000 dolara satmaya çalıştı.
“VanHelsing ransomware source code for sell: include TOR keys + web panel for admin + chat + file server + blog include database everything,” şeklinde bir mesaj paylaşmıştır. Ancak, VanHelsing operatörleri bu girişimi fark ederek, kaynak kodunu kendileri yayımlamaya karar verdiler ve th30c0der’ın eski bir geliştirici olduğunu belirterek onu dolandırıcı olarak tanımladılar.
“Bugün eski kaynak kodlarını yayımladığımızı duyuruyoruz ve yakında yeni ve geliştirilmiş versiyonumuzla (VanHelsing 2.0) geri döneceğiz,” şeklinde bir açıklama yapmışlardır.
Sızan Kodun İncelenmesi
Sızan verilerin, th30c0der’ın iddialarının aksine, eksik olduğunu belirtmek önemlidir. Sızdırılan kaynak kodu, Linux oluşturucusunu veya herhangi bir veritabanını içermemektedir ki bu da hem kolluk kuvvetleri hem de siber güvenlik araştırmacıları için daha faydalı olabilirdi. BleepingComputer, sızan kaynak kodunu temin ederek, içinde geçerli Windows şifreleyicisinin oluşturucusunun ve yan kuruluş paneli ile veri sızıntısı sitesinin kaynak kodlarının bulunduğunu doğrulamıştır.
Sızmış olan Windows şifreleyicisinin kaynak kodu, kullanılacak halde fakat karmaşık bir yapıya sahiptir. Visual Studio proje dosyaları, genellikle derlenmiş ikili dosyaların ve yapı belgelerinin tutulduğu "Release" klasöründe bulunmaktadır. VanHelsing oluşturucusunu kullanmak için, oluşturma süreci için veri almak amacıyla 31.222.238[.]208 adresine geri bağlanması gerekmektedir.
Yan Kuruluş Paneli ve Diğer Kaynaklar
Ayrıca sızan veri, yan kuruluş panelinin kaynak kodunu da içermektedir. Bu, tehdit aktörlerinin kodu değiştirmesine veya kendi versiyonlarını çalıştırarak oluşturucunun çalışmasını sağlamalarına olanak tanımaktadır. Arşivde ayrıca bağımsız bir yapı oluşturmak için kullanılabilecek Windows şifreleyicisinin kaynak kodu, şifre çözücüsü ve bir yükleyici de bulunmaktadır.
Sızdırılan kaynak kodları, tehdit aktörlerinin bir MBR (Master Boot Record) kilitleyici oluşturma çabalarını da ortaya koymaktadır. Bu kilitleyici, bir özel önyükleme yükleyicisi ile ana önyükleme kaydını değiştirerek bir kilit mesajı göstermektedir.
Siber Suçta Kaynak Kodu Sızıntılarının Etkisi
Bu olay, sızdırılan bir şifreleyici veya oluşturucu kaynak kodunun çevrimiçi olarak ilk kez ortaya çıkışı değildir. Daha önce Babuk ransomware oluşturucusunun sızdırılması, yeni ransomware gruplarının veya bireysel tehdit aktörlerinin hızla saldırılar gerçekleştirmelerine olanak tanımıştır. 2021’deki Babuk sızıntısı, herkesin Windows ve VMware ESXi için şifreleyiciler ve şifre çözücüler oluşturmasını sağlamıştır.
2022’de Conti ransomware operasyonunun veri ihlali yaşaması da, kaynak kodunun çevrimiçi olarak sızdırılmasına yol açmış ve diğer tehdit aktörleri bu kodu hızlıca kendi saldırılarında kullanabilmiştir. Bunların yanı sıra, LockBit ransomware operasyonunda da geliştiricilerin sızdırdığı bir yapı, tehdit aktörleri tarafından sıklıkla kullanılmaya devam etmektedir.
Sonuç olarak, VanHelsing operasyonunun kaynak kodu sızdırılması, siber suç dünyasında önemli bir gelişme olarak kaydedilmiştir. Bu tür sızıntılar, hem siber güvenlik araştırmaları hem de yasadışı faaliyetler açısından yeni dinamikler oluşturmakta ve tehdit aktörlerini hızla aktive edebilmektedir.
