Ransomware : VanHelsing risque de faire prochainement des émules

Le code source du rançongiciel VanHelsing est dans la nature, pour Windows, pour Linux/ESXi. Et pas seulement lui : le package inclut l’interface d’administration Web, celle de négociation, le serveur de fichiers, et la vitrine de revendication des victimes, aux côtés de la base de données nécessaire pour supporter le tout.

Tout est parti d’une mise en vente qui a tourné au règlement de comptes. Tammy Harper, chercheuse en renseignement sur les menaces chez Flare.io, explique rapporte la dispute : un ancien membre de l’équipe de développement de VanHelsing est accusé par les opérateurs de l’enseigne de chercher à « arnaquer les gens en vendant du vieux code » alors que la version 2.0 « sera bientôt lancée ».

Comme le « builder » qui a échappé à la franchise LockBit en septembre 2022, ce « vieux code » va tout de même permettre à des indépendants d’ouvrir leur activité malveillante, sous leur propre bannière. 

À une différence près. Là où le builder de LockBit a poussé les plus ambitieux à développer leur propre infrastructure, à l’instar de DragonForce, le code source de VanHelsing intègre tous les composants nécessaires. De quoi accélérer l’apparition de nouvelles enseignes mafieuses.

L’enseigne de ransomware en mode service VanHelsing est publiquement connue depuis la mi-mars. 

Les chercheurs de Cyfirma ont été les premiers à le documenter. Ceux de Check Point leur ont emboîté le pas, avec considérablement plus de détails. Selon eux, cette franchise de rançongiciel a été effectivement lancée le 7 mars, offrant 80 % des rançons obtenues aux affidés, le reste revenant à l’enseigne. Une caution de 5 000 $ est demandée aux nouveaux affidés et leur part leur est versée après deux confirmations de paiement sur la blockchain. Comme souvent, les règles du programme d’affiliation interdisent les attaques contre des organisations de la sphère d’influence russe.