Investigadores de ciberseguridad han revelado una nueva cepa de ransomware llamada Buena voluntad que obliga a las víctimas a donar para causas sociales y brindar asistencia financiera a las personas necesitadas.
“El grupo de ransomware propaga demandas muy inusuales a cambio de la clave de descifrado”, investigadores de CloudSEK dijo en un informe publicado la semana pasada. “El grupo tipo Robin Hood dice estar interesado en ayudar a los menos afortunados, en lugar de extorsionar a las víctimas por motivos económicos”.
Escrito en .NET, el ransomware fue identificado por primera vez por la firma de ciberseguridad con sede en India en marzo de 2022, y las infecciones hicieron que los archivos confidenciales fueran inaccesibles sin descifrarlos. El malware, que hace uso de la algoritmo AES para el cifrado, también se destaca por dormir durante 722,45 segundos para interferir con el análisis dinámico.
El proceso de cifrado es seguido por la visualización de una nota de rescate de varias páginas que requiere que las víctimas lleven a cabo tres actividades sociales para poder obtener el kit de descifrado.
Esto incluye donar ropa y mantas nuevas a las personas sin hogar, llevar a cinco niños desfavorecidos a Domino’s Pizza, Pizza Hut o KFC para recibir un regalo y ofrecer apoyo financiero a los pacientes que necesitan atención médica urgente pero que no tienen los medios económicos para hacerlo. asi que.
Además, se les pide a las víctimas que registren las actividades en forma de capturas de pantalla y selfies y las publiquen como evidencia en sus cuentas de redes sociales.
“Una vez que se completan las tres actividades, las víctimas también deben escribir una nota en las redes sociales (Facebook o Instagram) sobre ‘Cómo te transformaste en un ser humano amable al convertirte en víctima de un ransomware llamado GoodWill'”, dijeron los investigadores.
No se conocen víctimas de GoodWill y sus tácticas, técnicas y procedimientos (TTP) exactos utilizados para facilitar los ataques aún no están claros.
Tampoco se reconoce la identidad del autor de la amenaza, aunque un análisis de la dirección de correo electrónico y los artefactos de la red sugiere que los operadores son de la India y hablan hindi.
La investigación adicional de la muestra de ransomware también ha revelado superposiciones significativas con otra cepa basada en Windows llamada Lágrima ocultael primer ransomware de código abierto como prueba de concepto (PoC) en 2015 por un programador turco.
“Los operadores de GoodWill pueden haber obtenido acceso a esto, permitiéndoles crear un nuevo ransomware con las modificaciones necesarias”, dijeron los investigadores.