Vx-underground、じゃない、Vx-underground

Vx-undergroundというものがあります。
インターネット上のマルウェアのソース コード、サンプル、論文の最大のコレクションです。
たくさんのリソースが蓄積されて公開されています。
その数は実に7万を超えています。
マルウェアによっては多段階攻撃を展開するものもありますが、そういったものも、ものによっては、それぞれの段階のサンプルが公開されていたりします。
研究者が使うことを想像すると、研究対象のバイナリを集める部分をかなりここに依存することができそうです。

そんなVx-undergroundの名前を冠するマルウェアが確認されています。

• つけられた名前はVx-undergroundランサムウェア
  他の活動を実施している通常の組織が、自組織の名前をわざわざ謳ってランサムウェアを展開するでしょうか。
  Vx-undergroundランサムウェアは、Vx-undergroundという名前を含んでいますが、Vx-undergroundとは無関係です。
• Vx-undergroundランサムウェアはPhobosランサムウェアファミリの一部
  Vx-undergroundランサムウェアのプログラムは、Phobosランサムウェアファミリの一部です。
  これはランサムウェアですので、データを暗号化し、復号化に対する支払いを要求するように設計されています。
• 暗号化後のファイルの拡張子
  拡張子で、Vx-undergroundランサムウェアは、Vx-undergroundであることを強調します。
  たとえば「 1.jpg 」というファイル名のファイルは、「1.jpg.id[9ECFA84E-6666].[staff@vx-underground.org].VXUG」などとなります。
• 身代金メモ
  身代金メモでも、Vx-undergroundランサムウェアは、Vx-undergroundであることを強調します。
  身代金メモのファイル名は、「Buy Black Mass Volume II.hta」です。
  Black Massは、VX-Undergroundによって書かれ、たとえばAmazonで販売されている本です。
  私たちの本を買ってください、ということでしょうか。私たちではないわけですが。

動作としては、よくあるランサムウェアの内容です。
ローカルのファイルもネットワークで参照できるファイルも暗号化します。
暗号化しようとしているファイルを開いているアプリケーションがあれば、暗号化実施のためにそのアプリケーションを終了させます。
ボリュームシャドウコピーを削除しますので、回復オプションも使えなくします。
永続化機構も搭載しています。

このランサムウェアは、被害者にとってはランサムウェアです。
しかし、この観測されている内容では、脅威アクターは金銭的には活動の利益はない感じがします。
活動のモチベーションは、挑発や嘲笑なのでしょうか。

このマルウェアは、内容をそのままに名前を変えて再度現れるかもしれません。
想定出来る感染経路は多数あります。
公開されたRDPからかもしれませんし、ソフトウェアのインストーラーや動画などのメディアのファイルを装ったものとして近づいてくるかもしれません。

参考記事（外部リンク）：Vx-underground (.VXUG) ransomware virus – removal and
decryption options
www.pcrisk.com/removal-guides/28350-vx-underground-ransomware