Vx-underground、じゃない、Vx-underground

ほぼこもセキュリティニュース By Terilogy Worx

Vx-undergroundというものがあります。
インターネット上のマルウェアのソース コード、サンプル、論文の最大のコレクションです。
たくさんのリソースが蓄積されて公開されています。
その数は実に7万を超えています。
マルウェアによっては多段階攻撃を展開するものもありますが、そういったものも、ものによっては、それぞれの段階のサンプルが公開されていたりします。
研究者が使うことを想像すると、研究対象のバイナリを集める部分をかなりここに依存することができそうです。

そんなVx-undergroundの名前を冠するマルウェアが確認されています。

  • つけられた名前はVx-undergroundランサムウェア
    他の活動を実施している通常の組織が、自組織の名前をわざわざ謳ってランサムウェアを展開するでしょうか。
    Vx-undergroundランサムウェアは、Vx-undergroundという名前を含んでいますが、Vx-undergroundとは無関係です。
  • Vx-undergroundランサムウェアはPhobosランサムウェアファミリの一部
    Vx-undergroundランサムウェアのプログラムは、Phobosランサムウェアファミリの一部です。
    これはランサムウェアですので、データを暗号化し、復号化に対する支払いを要求するように設計されています。
  • 暗号化後のファイルの拡張子
    拡張子で、Vx-undergroundランサムウェアは、Vx-undergroundであることを強調します。
    たとえば「 1.jpg 」というファイル名のファイルは、「1.jpg.id[9ECFA84E-6666].[staff@vx-underground.org].VXUG」などとなります。
  • 身代金メモ
    身代金メモでも、Vx-undergroundランサムウェアは、Vx-undergroundであることを強調します。
    身代金メモのファイル名は、「Buy Black Mass Volume II.hta」です。
    Black Massは、VX-Undergroundによって書かれ、たとえばAmazonで販売されている本です。
    私たちの本を買ってください、ということでしょうか。私たちではないわけですが。

動作としては、よくあるランサムウェアの内容です。
ローカルのファイルもネットワークで参照できるファイルも暗号化します。
暗号化しようとしているファイルを開いているアプリケーションがあれば、暗号化実施のためにそのアプリケーションを終了させます。
ボリュームシャドウコピーを削除しますので、回復オプションも使えなくします。
永続化機構も搭載しています。

このランサムウェアは、被害者にとってはランサムウェアです。
しかし、この観測されている内容では、脅威アクターは金銭的には活動の利益はない感じがします。
活動のモチベーションは、挑発や嘲笑なのでしょうか。

このマルウェアは、内容をそのままに名前を変えて再度現れるかもしれません。
想定出来る感染経路は多数あります。
公開されたRDPからかもしれませんし、ソフトウェアのインストーラーや動画などのメディアのファイルを装ったものとして近づいてくるかもしれません。

参考記事(外部リンク):Vx-underground (.VXUG) ransomware virus – removal and
decryption options

www.pcrisk.com/removal-guides/28350-vx-underground-ransomware

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。