La piattaforma VX-Underground, nota per gestire una libreria open source che cataloga codice malevolo e malware, sembra essere stata coinvolta suo malgrado in un’operazione ransomware.
Stando a chi si occupa dell’archivio, infatti, una recente campagna del ransomware Phobos ha assunto il suo nome, discreditando il lavoro dei ricercatori. Nella giornata di lunedì, sull’account X del gruppo, è apparso uno screenshot che presenta una richiesta di riscatto a suo nome. Nel messaggio, viene fatto riferimento all’e-mail e all’account X di VX-Underground per riottenere i file crittografati.
Nel tweet, viene sottolineato come VX-Underground non sia un gruppo di cybercriminali, affermando come ritenga offensivo anche solo accostare il proprio nome a Phobos. Il ransomware in questione, a quanto pare, è stato già catalogato dai ricercatori di PCrisk, che hanno avvalorato la difesa della piattaforma, confermando come non vi siano collegamenti di sorta tra chi ha organizzato la campagna e chi gestisce il sito.
Ransomware Phobos che si finge VX-Underground: un’azione senza spiegazione logica
A rendere ancora più paradossale la situazione vi è un fatto da non sottovalutare: di fatto, gli autori dell’attacco, non forniscono alcun tipo di indicazione utile per pagare l’eventuale riscatto. Secondo quando appena detto, infatti, gli unici dati forniti riguardano proprio VX-Underground.
Secondo Tomas Meskauskas, fondatore di PCrisk, questo tipo di azione potrebbe essere un semplice test in previsioni di campagne malevoli future. In alternativa, potrebbe semplicemente essere un modo di screditare l’operato di VX-Underground agli occhi del pubblico.
Attraverso i propri canali di comunicazione la piattaforma ha tenuto a precisare che non ha la minima idea di non sapere chi sta gestendo la variante di Phobos. Al momento non è però chiaro se ha ricevuto messaggi da vittime colpite dal ransomware.
Come spiega VX-Underground nel suo comunicato, questa operazione non rappresenta di certo l’avanguardia delle minacce informatiche “Phobos è una vecchia variante di ransomware, non è un grande RaaS come Lockbit o ALPHV, ed è più progettato per prendere di mira singoli utenti“.