公開されたVanHelsing ｜ブログ(ほぼこもセキュリティニュース)

VanHelsingは、ランサムウェアサービス（RaaS）です。
今年の3月に話題になっていました。
あのときは、そのランサムウェアの機能などが話題になったのですが、今回は少し異なります。
何が起こったのでしょうか。

元開発者が金儲け
VanHelsingは複数の脅威アクターの活動で構成されています。
どうやら開発の部分を担ってた脅威アクターの一人がVanHelsingとしての活動を終了したようです。
そして、その元開発者がサイバー犯罪フォーラムに投稿したのです。
内容は次の通りです。
「vanhelsing ランサムウェアのソースコードを販売します: TOR キー + 管理者用 Web パネル + チャット + ファイルサーバー + ブログ、データベースすべてが含まれます」
販売価格は10,000ドルで、公開されたフォーラムはRAMP フォーラムでした。
現行メンバーが報復
現行メンバーは、元開発者が現行メンバーに連携することなく、勝手にソースコードを販売しようとしていることに気がつきました。
現行メンバーは対策を実行しました。
勝手に元開発者がソースコードを販売するということなら、現行チームはソースコードを公開してしまおう、というものでした。
「本日、古いソースコードを公開し、まもなくロッカーの新しい改良版（VanHelsing 2.0）をリリースすることを発表します」
公開はフリーで、公開されたフォーラムはRAMP フォーラムでした。

バチバチに火花が出ている状態になっています。
現行メンバーは元開発者の動きを知ったときには焦ったのでしょうが、結果としては新バージョンの良い宣伝になったというところなのかもしれません。

ランサムウェアだけでなく、いろいろなマルウェアのソースコードが公開されてしまう事象というのは、これまでも多数確認されています。
そのたびに、それらの情報は研究者に解析され、安全にしたい方向で大きな役に立っていることでしょう。
しかし、こういった情報の公開は表の効能だけでなく、裏の波及効果まで生み出してしまいます。
その公開された情報を利用して、また新たな脅威アクターやマルウェアが生み出されてしまうのです。

VanHelsingは、Linux/BSD/ARM/ESXiなどの広い範囲をカバーする内容になっています。
また公開物の中にはビルダーツールや暗号化ツール、そしてアフィリエイト向けのWebパネルの内容まで含まれています。
これを見た悪意ある人はどんな新しい脅威を作り出してしまうのでしょうか。
注視していく必要がありそうです。