Im Mai 2025 sorgte die Veröffentlichung des Quellcodes des Ransomware-Builders VanHelsing für erhebliche Wellen in der Cybersicherheitsbranche. Der Ransomware-Baukasten, ursprünglich als Ransomware-as-a-Service (RaaS) konzipiert, wurde in kriminellen Kreisen entwickelt, um Angriffe auf verschiedenste Systeme zu ermöglichen. Dieses Open-Source-Leak hat zahlreiche Fragen bezüglich der Sicherheit moderner IT-Infrastrukturen und der Effektivität von Gegenmaßnahmen aufgeworfen. VanHelsing, benannt nach der berühmten Figur aus der Vampirjagdliteratur, wurde im März 2025 veröffentlicht. Seine Entwickler behaupteten, eine breite Palette an Plattformen angreifen zu können, darunter Windows, Linux, BSD, ARM-basierte Systeme sowie ESXi-Server.
Diese Vielseitigkeit macht VanHelsing zu einer ernstzunehmenden Bedrohung für Unternehmen und Privatpersonen gleichermaßen. Laut den Daten von Ransomware.live wurden seit dem Start mindestens acht bestätigte Angriffe verzeichnet. Der bedeutende Bruch erfolgte, als ein ehemaliger Entwickler unter dem Pseudonym th30c0der versuchte, den Quellcode samt Partnerpanel und Website-Komponenten im Darknet-Forum RAMP zum Kauf anzubieten. Die Startgebühr für die Auktion lag bei 10.
000 US-Dollar, wodurch der Quellcode in die Hände weiterer potenzieller Angreifer gelangen sollte. Unmittelbar darauf reagierten die aktuellen Betreiber des VanHelsing-Ransomware-Projekts: Sie veröffentlichten eigenständig den Quellcode öffentlich und behaupteten, th30c0der sei ein ehemaliger Mitarbeiter, der versuche, veraltete Versionen und interne Tools zu verkaufen, um die Community zu täuschen. Gleichzeitig kündigten sie die Entwicklung einer verbesserten Version namens VanHelsing 2.0 an, um weiterhin aktiv im Ransomware-Geschäft zu bleiben. Die Sicherheitsforschung, insbesondere durch Experten wie Emanuele De Lucia, bestätigte die Echtheit des veröffentlichten Quellcodes.
Besonders hervorzuheben ist, dass der Quellcode den eigentlichen Builder für die Windows-Version der Malware umfasst sowie das Backend-Partnerpanel und die Website für das Datenleaking. Diese Komponenten sind integrale Bestandteile eines RaaS-Modells, das es Partnern ermöglicht, eigene Angriffe zu starten, während die Entwickler von jeder erfolgreichen Infektion profitieren. Interessanterweise ist der Quellcode des Builders nicht besonders strukturiert. Dateien, die normalerweise nur kompilierte Artefakte enthalten sollten, sind mit Quelltext vermischt, was auf eine unorganisierte Entwicklungsumgebung hinweist. Zudem greift der Builder zur Laufzeit auf die Partner-API unter der IP-Adresse 31.
222.238.208 zu, um notwendige Parameter zu erhalten. Das Bekanntwerden der API-Endpunkte bietet Forschern und Sicherheitskräften die Möglichkeit, eigene Varianten der Infrastruktur zu simulieren oder lahmzulegen. Der Leaked-Code enthält auch die Windows-Verschlüsselungsroutine.
Damit ließe sich eine unabhängige Malware-Version kompilieren, womit Cyberkriminelle von der Originalquelle profitieren könnten, ohne von den Erstellern abhängig zu sein. Zusätzlich befinden sich im Archiv Tools für Entschlüsselung und Loader, die typischerweise zur Erpressung und Infektion genutzt werden. Bemerkenswert ist, dass die Entwickler offenbar auch an einem MBR-Blocker arbeiteten, der den Master Boot Record durch eine Sperrnachricht ersetzen sollte. Dieses Vorgehen erschwert das einfache Wiederherstellen des Systems erheblich, da bei einem MBR-Angriff die gesamte Bootsequenz manipuliert wird. Für Opfer solcher Attacken ist es dann besonders aufwendig, die Kontrolle über ihre Geräte zurückzuerlangen.
Die Veröffentlichung des Quellcodes stellt Sicherheitsforscher vor komplexe Herausforderungen. Auf der einen Seite ermöglicht die Offenlegung eine detaillierte Untersuchung der Malware und die Entwicklung von effektiveren Schutzmechanismen. Auf der anderen Seite bekommen auch unerfahrene Kriminelle Zugang zu hochwertigen Angriffswerkzeugen, was zu einer Zunahme von Ransomware-Attacken führen kann. Ransomware-as-a-Service ist ein Geschäftsmodell, bei dem die Malware-Entwickler die Schadsoftware und unterstützende Infrastruktur anbieten, während Affiliates für das Einspielen der Malware und den Angriff auf Endnutzer verantwortlich sind. Durch die Veröffentlichung des Partnerpanels und der Backend-Komponenten wird es neuen Akteuren leichter gemacht, eigene Netzwerke zu errichten und Erpressungen durchzuführen.
Besonders betroffen sind Unternehmen, die heterogene IT-Umgebungen betreiben. VanHelsings Fähigkeit, mehrere Betriebssysteme und Architekturen zu attackieren, macht es zu einer multifunktionalen Bedrohung. Während sich Windows-Systeme oft im Fokus von Ransomware befinden, gelten Linux- und ESXi-Server als kritische Infrastruktur, deren Ausfall gravierende Folgen haben kann. Vonseiten der IT-Sicherheitsexperten ist es essenziell, die veröffentlichten Quellcodes gründlich zu analysieren und entsprechende Signaturen sowie Erkennungsmechanismen in Antivirenprogrammen und Intrusion-Detection-Systemen zu integrieren. Darüber hinaus sollten Unternehmen ihre Datensicherungsstrategien überprüfen und sicherstellen, dass Backups vor Angriffen geschützt sind.
Die Reaktionen von Sicherheitscommunities und Strafverfolgungsbehörden sind vielschichtig. Während einige Teams ihre Erkenntnisse direkt an betroffene Organisationen weitergeben, versuchen andere, Teile der Infrastruktur zu stören und damit die Effektivität der Ransomware zu verringern. Die vollständige Zerschlagung solcher Dienste gestaltet sich jedoch oft schwierig, da die Betreiber und ihre Partner stark anonymisiert agieren. Für Endanwender bedeutet die VanHelsing-Publikation eine erhöhte Gefahr. Das Risiko einer Infektion steigt, da die Malware nun in modifizierter Form von unterschiedlichsten Akteuren genutzt werden kann.
Der Fokus auf verschiedene Plattformen inklusive ARM-Prozessoren weitet den Angriffskorridor auf IoT-Geräte und mobile Systeme aus. Betriebs- und Privatnetzwerke müssen daher verstärkt auf ungewöhnliche Aktivitäten überwacht werden. Das Fallbeispiel VanHelsing unterstreicht die Herausforderungen, denen sich die Cybersicherheitsbranche im Zeitalter der digitalen Kriminalität gegenübersieht. Die Vermischung von krimineller Infrastruktur mit kommerziellen Angriffstools, gepaart mit der Leichtigkeit der Verbreitung solcher Tools, zeigt die Notwendigkeit eines ganzheitlichen Schutzansatzes. Dieser beinhaltet technische Gegenmaßnahmen, Awareness-Programme und internationale Zusammenarbeit.
Abschließend lässt sich feststellen, dass die Veröffentlichung des VanHelsing-Quellcodes sowohl Chancen als auch Risiken birgt. Während Sicherheitsexperten dadurch tieferen Einblick in neue Angriffsmethoden bekommen, kann dieselbe Offenlegung die Kriminalisierung von Systemen weltweit beschleunigen. Eine konsequente und adaptive Sicherheitsstrategie ist für Organisationen absolut notwendig, um den Bedrohungen durch RaaS-Malware wie VanHelsing effektiv zu begegnen.
