GoodWill Ransomware-Erkennung: Neue Malware zwingt ihre Opfer, der Gesellschaft etwas zurückzugeben
Inhaltsverzeichnis:
Eine ziemlich ungewöhnliche Art von Malware hat kürzlich Schlagzeilen gemacht. Der neue Strain wird GoodWill Ransomware genannt, und seine Neuheit liegt in der Natur der Forderungen, die die Opfer erfüllen müssen, um den Entschlüsselungsschlüssel zu erhalten. Die Ransomware-Betreiber, die behaupten, sie seien „hungrig nach Freundlichkeit“, erwarten von ihren Zielen, dass sie Bedürftige unterstützen. Als Teil der Ransomware-Forderungen müssen diese erzwungenen Wohltaten dokumentiert und online über die Social-Media-Konten des Opfers geteilt werden.
Der GoodWill Ransomware-Strain wurde erstmals im März 2022 entdeckt. Die Malware-Analyse zeigte, dass die betreffende Variante auf .NET basiert und AES-Verschlüsselung (auch Rijndael genannt) verwendet, um Dateien auf einem kompromittierten Gerät zu verschlüsseln. Forscher identifizierten 1246 Strings dieser Ransomware, wobei 91 mit dem HiddenTear übereinstimmen.
GoodWill Ransomware entdecken
The Sigma-Regel unten, veröffentlicht von dem scharfsinnigen Threat Bounty-Entwickler Furkan Celik, ermöglicht die mühelose Erkennung der neuesten Angriffe mit der GoodWill Ransomware:
Bösartige Dateien der Goodwill-Ransomware-Gruppe erkennen (via file_event)
Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt, das die Command and Control-Taktik mit der Ingress Tool Transfer-Technik (T1105) adressiert. Sicherheitsfachleute können problemlos zwischen mehreren SIEM-, EDR- und XDR-Formaten wechseln, um den Regel-Quellcode für mehr als 19 Sicherheitslösungen anzuwenden.
Experten für Cybersicherheit sind herzlich eingeladen, am Threat Bounty Program teilzunehmen, um ihre SOC-Inhalte auf der branchenführenden Plattform für wiederkehrende finanzielle Belohnungen zu teilen.
Eine umfassende Bibliothek von SOC-Inhalten steht allen Nutzern mit einem aktiven Konto auf der Plattform von SOC Prime zur Verfügung. Klicken Sie auf den Erkennen & Jagen Button, um Sigma- und YARA-Regeln zu erkunden, die Ihnen helfen, Ransomware-Verletzungen zu erkennen, die Ihr Geschäft unterbrechen könnten. Durch Klicken auf den Bedrohungskontext erkunden Button können auch nicht registrierte Sicherheitsfachleute auf aktuelle Erkennungsinhalte mit allen relevanten Kontexten zugreifen.
Erkennen & Jagen Bedrohungskontext erkunden
Beschreibung der GoodWill Ransomware
Ein sehr ungewöhnlicher Bedrohungsakteur ist Ende Frühling 2022 aufgetaucht. Die Gegner verbreiten die GoodWill Ransomware und zwingen ihre Opfer, „sanft und freundlich“ zu sein, um ihre Dateien zu entschlüsseln. Forscher von CloudSEK haben die Bedrohungsakteure hinter der Verbreitung des Strains als Robin Hood-ähnliche Gegnergruppe bezeichnet, wobei einige Spuren der Hacker auf ihren Standort in Indien hindeuten.
The Ransomware mit dem Namen GoodWill ist mit UPX-Packern ausgestattet und bleibt bei Befall fast 12 Minuten lang inaktiv, um dynamische Analysen zu stören.
Die Ransomware-Notiz enthält eine detaillierte Beschreibung dessen, was die Gegner erwarten, sowie Anleitungen zu drei Wohltaten, die vom Opfer durchgeführt und auf deren Facebook- oder Instagram-Konten geteilt werden müssen. Bis die Forderungen erfüllt sind, bleiben die Dateien des Opfers verschlüsselt.
Abonnieren Sie den Threat Detection Marketplace – eine weltweit führende Plattform für kollaborative Cyberabwehr, die plattform- und anbieterübergreifende SOC-Inhalte für 25 marktführende SIEM-, EDR- und XDR-Technologien bereitstellt. Die Inhalte werden kontinuierlich um zusätzlichen Bedrohungskontext erweitert und auf Auswirkungen, Effizienz, Fehlalarme und andere betriebliche Überlegungen im Rahmen einer Reihe von Qualitätssicherungsprüfungen geprüft.