Détection de GoodWill Ransomware : Un Nouveau Malware qui Force ses Victimes à Rendre à la Société

[post-views]
juin 20, 2022 · 4 min de lecture
Détection de GoodWill Ransomware : Un Nouveau Malware qui Force ses Victimes à Rendre à la Société

Un type de malware plutôt particulier a récemment fait les gros titres. La nouvelle souche est surnommée GoodWill ransomware, et sa nouveauté réside dans la nature des demandes que les victimes doivent satisfaire pour obtenir la clé de déchiffrement. Les opérateurs de ransomware, affirmant qu’ils sont « affamés de bonté », attendent de leurs cibles qu’elles soutiennent ceux dans le besoin. Dans le cadre des exigences du ransomware, ces actes de charité forcée doivent être documentés et partagés en ligne via les comptes de réseaux sociaux de la victime.

La souche de ransomware GoodWill a été repérée pour la première fois en mars 2022. L’analyse du malware a montré que la variante en question est basée sur .NET et utilise l’AES encrypt (alias Rijndael) pour chiffrer les fichiers sur un appareil compromis. Les chercheurs ont identifié 1246 chaînes de ce ransomware, 91 d’entre elles ayant une correspondance avec le HiddenTear.

Détecter le ransomware GoodWill

The Règle Sigma ci-dessous, publiée par le perspicace développeur Threat Bounty Furkan Celik, permet une détection facile des dernières attaques impliquant le ransomware GoodWill :

Détecter les fichiers malveillants du groupe de ransomware GoodWill (via file_event)

La règle est alignée sur le dernier cadre MITRE ATT&CK® v.10. traitant de la tactique de Command and Control avec la technique de transfert d’outil d’entrée (T1105). Les praticiens de la sécurité peuvent facilement passer entre plusieurs formats SIEM, EDR et XDR pour obtenir le code source de la règle applicable à plus de 19 solutions de sécurité.

Les adeptes de la cybersécurité sont plus que bienvenus pour rejoindre le Programme Threat Bounty pour partager leur contenu SOC sur la plateforme leader du secteur en échange de récompenses monétaires récurrentes.

Une bibliothèque de contenu SOC complète est disponible pour tous les utilisateurs ayant un compte actif sur la plateforme SOC Prime. Appuyez sur le bouton Detect & Hunt pour explorer les règles Sigma et YARA qui vous aideront à détecter les violations de ransomware susceptibles d’interrompre votre activité. En cliquant sur le bouton Explore Threat Context , même les professionnels de la sécurité non enregistrés peuvent accéder au contenu de détection tendance avec tout le contexte pertinent.

Detect & Hunt Explore Threat Context

Description du ransomware GoodWill

Un acteur de menace très inhabituel a émergé à la fin du printemps 2022. Les adversaires diffusent le ransomware GoodWill, obligeant leurs victimes à être « doux et gentils » pour obtenir le déchiffrement de leurs fichiers. Les chercheurs de CloudSEK ont étiqueté les acteurs de la menace derrière la distribution de la souche comme un groupe d’adversaires à la manière de Robin des Bois, avec certaines traces des pirates indiquant leur localisation en Inde.

The le ransomware surnommé GoodWill est emballé avec des packers UPX et reste en sommeil après infection pendant près de 12 minutes pour interférer avec l’analyse dynamique.

La note de ransomware comprend une description détaillée de ce que les adversaires attendent et des instructions sur trois tâches de bienveillance à réaliser par la victime et à partager sur leurs comptes Facebook ou Instagram. Tant que les demandes ne sont pas satisfaites, les fichiers de la victime restent chiffrés.

Obtenez un abonnement à Threat Detection Marketplace – une plateforme mondiale de cyberdéfense collaborative qui fournit du contenu SOC multi-fournisseurs et multi-outils adapté à 25 technologies de SIEM, EDR et XDR leaders du marché. Le contenu est continuellement enrichi d’un contexte de menace supplémentaire, ainsi que vérifié pour l’impact, l’efficacité, les faux positifs et d’autres considérations opérationnelles à travers une série d’audits d’assurance qualité.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes