「VX-Undergroundランサムウェア」登場:研究者集団の名騙るPhobosの新たな亜種 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 「VX-Undergroundランサムウェア」登場:研究者集団の名騙るPhobosの新たな亜種

Threat Report

Silobreaker-CyberAlert

「VX-Undergroundランサムウェア」登場:研究者集団の名騙るPhobosの新たな亜種

佐々山 Tacos

佐々山 Tacos

2023.11.21

11月21日:サイバーセキュリティ関連ニュース

「VX-Undergroundランサムウェア」登場:マルウェア研究者集団の名を騙るPhobosランサムウェアの新たな亜種

BleepingComputer – November 20, 2023

マルウェアリサーチャー集団の「VX-Underground」の名を騙ったPhobosランサムウェアの新たな亜種を、ランサムウェアハンターのPCriskが発見。Phobosは2018年に始動したランサムウェアで、Crysisランサムウェアファミリーから派生したランサムウェア・アズ・ア・サービスと思われる。

今回見つかった新たな亜種は、ランサムウェアの背後にVX-Undergroundがいるかのように思わせ、同リサーチャー集団が悪意ある活動をしているかのように見せかけようとするもので、以下のような特徴を持つ。

 

・暗号化されたファイルには、以下の文字列が追加される:.id[[unique_id].[staff@vx-underground.org].VXUG

・暗号化後に作成される2つのランサムノート(テキストとHTAファイル)のタイトルは「Buy Black Mass Volume II.txt」および「Buy Black Mass Volume II.hta」。「Black Mass」とは、VX-Undergroundが執筆した書籍のタイトルで現在もAmazonで販売されている。

・ランサムノートには、「復号のためのパスワードは “infected” ではない」と記されている。「infected」は、VX-Undergroundが提供している全マルウェアアーカイブのパスワードとして用いられている単語。

・ランサムノートでは、連絡先として「staff@vx-underground.org」というメールアドレスとTwitter(X)のID「@vxunderground」が提示されている。

・2つ目のランサムノート(HTAファイル)では、VX-Undergroundのロゴが使用されている。

 

これに関して、VX-Underground自身もXで「脅威アクターが『Vx-undergroundランサムウェア』という名称を使って私たちを悪者に仕立て上げようとしていることは認識しています」と発言し、投稿の中で以下2点を明記している。

 

1, 私たちは脅威アクターではありません

2, 私たちがPhobosを使うほど低レベルになったと思われるかもしれないのは侮辱的なことです

インドの雇われハッカーグループ、10年以上にわたり米国、中国などを標的に

The Hacker News – Nov 20, 2023

インドの雇われハッカーAppin Software Security(別名Appin Security Group)が、広範囲にわたるスパイ活動、偵察、妨害工作の一環として、米国、中国、ミャンマー、パキスタン、クウェート、その他の国々を10年以上にわたって標的にしていたという。SentinelOneによると、同グループはオフェンシブセキュリティトレーニングプログラムを提供する教育新興企業としてスタートし、遅くとも2009年以降は、秘密裏にハッキング活動を行っていた。ハッキング活動では、重要度の高い個人、政府組織、特定の法的紛争に関与するその他の企業が標的となった。Appinの手口は技術的に粗雑であるようだが、活動は大きな成功を収め、世界情勢にも影響を与えていたという。

米国の10代若者、賭けサイトに対するクレデンシャルスタッフィング攻撃への関与を認める

SecurityWeek – Nov 20, 2023

米国の19歳のJoseph Garrison被告が、ファンタジースポーツや賭け事を扱うサイトのユーザーアカウントを標的としたクレデンシャルスタッフィング攻撃を行ったことについて罪を認めた。同被告は2022年11月18日、賭けサイトDraftKingsの約6万件のアカウントにアクセスし、一部のアカウントから合計約60万ドルを盗んだという。同被告のコンピューターからは、攻撃で使用できる約4,000万件の認証情報や、クレデンシャルスタッフィング攻撃に使用されるものとして典型的なプログラムが発見された。また同被告の携帯電話の分析により、同被告と共謀者との間で賭けサイトをハッキングする方法や、標的のアカウントから金を盗み出す方法についての会話がなされていたことも明らかとなっている。

その他のニュースはこちらから(リンク集)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ