Detección de Ransomware GoodWill: Nuevo Malware Obliga a Sus Víctimas a Recompensar a la Sociedad
Tabla de contenidos:
Un tipo bastante peculiar de malware ha llegado recientemente a los titulares. La nueva cepa se llama ransomware GoodWill, y su novedad radica en la naturaleza de las demandas que las víctimas deben cumplir para obtener la clave de descifrado. Los operadores de ransomware, alegando que están “hambrientos de bondad”, esperan que sus objetivos apoyen a los necesitados. Como parte de las demandas de ransomware, esos actos forzados de caridad deben ser documentados y compartidos en línea a través de las cuentas de redes sociales de la víctima.
La cepa de ransomware GoodWill fue vista por primera vez en marzo de 2022. El análisis del malware mostró que la variante en cuestión se basa en .NET y utiliza el cifrado AES (también conocido como Rijndael) para cifrar archivos en un dispositivo comprometido. Los investigadores identificaron 1246 cadenas de este ransomware, con 91 superpuestas con el HiddenTear.
Detectar el Ransomware GoodWill
The Regla Sigma a continuación, lanzada por el perspicaz desarrollador de Threat Bounty Furkan Celik, permite la detección sin esfuerzo de los últimos ataques que involucran al ransomware GoodWill:
Detectar Archivos Maliciosos del Grupo de Ransomware GoodWill (vía file_event)
La regla está alineada con el último marco MITRE ATT&CK® v.10. abordando la táctica de Comando y Control con la técnica de Transferencia de Herramientas de Entrada (T1105). Los profesionales de la seguridad pueden cambiar fácilmente entre múltiples formatos SIEM, EDR y XDR para obtener el código fuente de la regla aplicable a más de 19 soluciones de seguridad.
Los expertos en ciberseguridad son más que bienvenidos a unirse al Programa Threat Bounty para compartir su contenido SOC en la plataforma líder de la industria a cambio de recompensas monetarias recurrentes.
Una biblioteca integral de contenido SOC está disponible para todos los usuarios con una cuenta activa en la plataforma de SOC Prime. Presione el botón Detectar & Cazar para explorar reglas Sigma y YARA que le ayudarán a detectar brechas de ransomware que puedan interrumpir su negocio. Al hacer clic en el botón Explorar Contexto de Amenaza , incluso los profesionales de seguridad no registrados pueden acceder a contenido de detección de tendencias con todo el contexto relevante.
Detectar & Cazar Explorar Contexto de Amenaza
Descripción del Ransomware GoodWill
Un actor de amenazas muy inusual ha surgido a finales de la primavera de 2022. Los adversarios propagan el ransomware GoodWill, obligando a sus víctimas a ser “gentiles y amables” para que sus archivos sean descifrados. Investigadores de CloudSEK han etiquetado a los actores de amenazas detrás de la distribución de la cepa como un grupo adversario similar a Robin Hood, con algunas de las huellas de los hackers que indican su ubicación en la India.
The ransomware denominado GoodWill está empaquetado con empaquetadores UPX y permanece inactivo tras la infección durante casi 12 minutos para interferir con el análisis dinámico.
La nota del ransomware incluye una descripción detallada de lo que los adversarios esperan e instrucciones sobre tres tareas benévolas realizadas por la víctima y compartidas en sus cuentas de Facebook o Instagram. Hasta que las demandas se cumplan, los archivos de la víctima se mantienen cifrados.
Obtenga una suscripción a Threat Detection Marketplace – una plataforma líder mundial para la defensa cibernética colaborativa que proporciona contenido SOC entre diferentes proveedores y herramientas adaptado a 25 tecnologías SIEM, EDR y XDR líderes en el mercado. El contenido se enriquece continuamente con contexto adicional de amenazas, así como se verifica su impacto, eficiencia, falsos positivos y otras consideraciones operativas a través de una serie de auditorías de aseguramiento de calidad.
