GoodWillランサムウェアの検出：新たなマルウェアが被害者に社会貢献を強いる

最近、かなり奇妙なタイプのマルウェアが話題になっています。この新種はGoodWillランサムウェアと呼ばれ、その特徴は被害者が復号キーを得るために果たさなければならない要求の性質にあります。ランサムウェアの運営者は、自分たちを「親切に飢えている」と主張し、対象者が困っている人々を支援することを期待しています。ランサムウェアの要求の一環として、これらの強制的なチャリティ活動は記録され、被害者のソーシャルメディアアカウントを通じてオンラインで共有されなければなりません。

GoodWillランサムウェアの亜種は2022年3月に初めて発見されました。マルウェア解析によると、この亜種は.NETベースであり、AES（別名Rijndael）を使用して感染したデバイス上のファイルを暗号化します。研究者たちはこのランサムウェアの1246の文字列を特定し、そのうち91はHiddenTearと重複していることが判明しました。

GoodWillランサムウェアを検出する

The Sigmaルール 以下に、洞察力のあるThreat Bounty開発者 Furkan Celikによりリリースされた最新のGoodWillランサムウェアを含む攻撃の検出が容易になります：

GoodWillランサムウェア グループの悪意あるファイルを検出する（ファイルイベント経由）

このルールは最新の MITRE ATT&CK®フレームワーク v.10に整合しており、コマンド＆コントロール戦術に対応するIngress Tool Transfer（T1105）技術を用いています。セキュリティの専門家は、19を超えるセキュリティソリューションに適用可能なルールのソースコードを入手するために、複数のSIEM、EDR、XDR形式間を簡単に切り替えることができます。

サイバーセキュリティの達人は、 Threat Bountyプログラム に参加し、業界をリードするプラットフォームでSOCコンテンツを共有して、定期的な金銭的報酬を受け取ることが歓迎されます。

SOCコンテンツの包括的なライブラリは、SOC Primeのプラットフォームでアクティブなアカウントを持つすべてのユーザーが利用できます。 検出＆ハント ボタンを押して、ビジネスを中断する可能性のあるランサムウェア侵害を検出するのに役立つSigmaとYARAルールを探索してください。「 脅威コンテキストを探索 」ボタンをクリックすると、登録されていないセキュリティ専門家でも、関連するコンテキストを含むトレンドの検出コンテンツにアクセスできます。

検出＆ハント 脅威コンテキストを探索

GoodWillランサムウェアの説明

非常に奇妙な攻撃者が2022年春後半に出現しました。この敵はGoodWillランサムウェアを広め、被害者に「優しく親切」であれと強制することで、ファイルの復号化を求めます。研究者たちによると、 CloudSEK は、当該亜種を配布する背後の攻撃者をロビン・フッドのような敵対グループとしてタグ付けし、一部のハッカーの痕跡がインドの場所を示しています。

The ランサムウェア と呼ばれるGoodWillは、UPXパッカーでパックされており、感染後約12分間休眠して動的解析を妨害します。

ランサムウェアの通知には、敵対者が期待することと、被害者が成し遂げた三つの善意のあるタスクについて説明があります。それらは被害者のFacebookまたはInstagramアカウントで共有されます。要求が満たされるまで、被害者のファイルは暗号化されたままです。

購読を受ける 脅威検出マーケットプレイス – これは、25以上の市場をリードするSIEM、EDR、およびXDR技術に合わせてカスタマイズされたクロスベンダーおよびクロスツールSOCコンテンツを提供する、協調的なサイバー防御のための世界をリードするプラットフォームです。コンテンツは、追加の脅威コンテキストとともに継続的に強化され、品質保証監査の一連の作業を通じてインパクト、効率、偽陽性、その他の運用上の考慮要因がチェックされます。