Rilevamento del Ransomware GoodWill: Nuovo Malware Costringe le Vittime a Restituire alla Società
Indice:
Un tipo piuttosto peculiare di malware ha recentemente fatto le prime pagine. Il nuovo ceppo è soprannominato GoodWill ransomware, e la sua novità risiede nella natura delle richieste che le vittime devono soddisfare per ottenere la chiave di decrittazione. Gli operatori del ransomware, affermando di essere “affamati di gentilezza”, si aspettano che i loro obiettivi supportino chi è in difficoltà. Come parte delle richieste del ransomware, quegli atti di carità obbligati devono essere documentati e condivisi online tramite i social media della vittima.
Il ceppo di ransomware GoodWill è stato avvistato per la prima volta a marzo 2022. L’analisi del malware ha mostrato che la variante in questione è basata su .NET e utilizza l’AES encrypt (aka Rijndael) per crittografare i file su un dispositivo compromesso. I ricercatori hanno identificato 1246 stringhe di questo ransomware, con 91 sovrapposizioni con HiddenTear.
Rileva Ransomware GoodWill
The Regola Sigma di seguito, rilasciata dall’acuto sviluppatore di Threat Bounty Furkan Celik, consente un rilevamento senza sforzo degli ultimi attacchi che coinvolgono il ransomware GoodWill:
Rileva File Maligni del Gruppo GoodWill Ransomware (tramite file_event)
La regola è allineata con l’ultima MITRE ATT&CK® framework v.10. che affronta la tattica di Command and Control con la tecnica di Ingress Tool Transfer (T1105). I professionisti della sicurezza possono facilmente passare tra più formati SIEM, EDR e XDR per ottenere il codice sorgente della regola applicabile a oltre 19 soluzioni di sicurezza.
Gli esperti di cybersecurity sono più che benvenuti a unirsi al Threat Bounty Program per condividere i loro contenuti SOC sulla piattaforma leader del settore per ricompense monetarie ricorrenti.
Una biblioteca onnicomprensiva di contenuti SOC è disponibile per tutti gli utenti con un account attivo sulla piattaforma di SOC Prime. Premi il pulsante Rileva & Caccia per esplorare le regole Sigma e YARA che ti aiuteranno a rilevare violazioni ransomware che potrebbero interrompere la tua attività. Cliccando il pulsante Esplora Contesto Minaccia , anche i professionisti della sicurezza non registrati possono accedere ai contenuti di rilevamento di tendenza con tutto il contesto rilevante.
Rileva & Caccia Esplora Contesto Minaccia
Descrizione Ransomware GoodWill
Un attore malintenzionato molto insolito è emerso alla fine della primavera 2022. Gli avversari diffondono il ransomware GoodWill, costringendo le loro vittime a essere “gentili e cortesi” per decrittare i loro file. I ricercatori di CloudSEK hanno etichettato gli autori della minaccia dietro la distribuzione del ceppo come un gruppo avversario simile a Robin Hood, con alcune tracce degli hacker che indicano la loro posizione indiana.
The ransomware soprannominato GoodWill è confezionato con packer UPX e rimane inattivo al momento dell’infezione per quasi 12 minuti per interferire con l’analisi dinamica.
La nota di ransomware include una descrizione dettagliata di ciò che gli avversari si aspettano e istruzioni su tre atti di buona volontà eseguiti dalla vittima e condivisi sui loro account Facebook o Instagram. Finché le richieste non vengono soddisfatte, i file della vittima rimangono crittografati.
Ottieni un abbonamento a Threat Detection Marketplace – una piattaforma di livello mondiale per la difesa cibernetica collaborativa che fornisce contenuti SOC cross-vendor e cross-tool su misura per 25 tecnologie SIEM, EDR e XDR leader di mercato. Il contenuto è continuamente arricchito con ulteriore contesto di minaccia, nonché controllato per impatto, efficienza, falsi positivi e altre considerazioni operative attraverso una serie di audit di garanzia della qualità.
