GoodWill 랜섬웨어 탐지: 새로운 악성코드 피해자를 사회에 기여하도록 강요

최근에 헤드라인에 오른 다소 특이한 유형의 멀웨어가 있습니다. 새 변종은 GoodWill 랜섬웨어라고 불리며, 그 신선함은 피해자가 복호화 키를 얻기 위해 이행해야 하는 요구 사항의 특성에 있습니다. 랜섬웨어 운영자들은 자신들이 ‘친절을 배고파한다’고 주장하면서 대상자들이 도움이 필요한 사람들을 지원할 것을 기대하고 있습니다. 랜섬웨어 요구의 일환으로 이러한 강제적인 자선 행위는 문서화되어 피해자의 소셜 미디어 계정을 통해 온라인에 공유되어야 합니다.

GoodWill 랜섬웨어 변종은 2022년 3월에 처음 발견되었습니다. 멀웨어 분석에 따르면 문제의 변종은 .NET 기반이며, AES 암호화(aka Rijndael)를 사용하여 손상된 장치의 파일을 암호화합니다. 연구자들은 이 랜섬웨어의 1246개 문자열을 확인했으며, 그 중 91개는 HiddenTear와 중복됩니다.

GoodWill Ransomware 탐지

The 시그마 규칙 아래, 예리한 Threat Bounty 개발자인 Furkan Celik에 의해 릴리스된, GoodWill 랜섬웨어가 관련된 최신 공격을 쉽게 탐지할 수 있도록 합니다:

GoodWill 랜섬웨어 그룹의 악성 파일 탐지 (via file_event)

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10.과 정렬되어 있으며, Ingress Tool Transfer (T1105) 기술을 통해 명령 및 제어 전술을 다룹니다. 보안 실무자는 19개 이상의 보안 솔루션에 적용 가능한 규칙 소스 코드를 얻기 위해 여러 SIEM, EDR, XDR 포맷 간에 쉽게 전환할 수 있습니다.

사이버보안 전문가들은 Threat Bounty Program 에 참여하여 업계 선도적 플랫폼에 SOC 콘텐츠를 공유하고 반복적인 금전적 보상을 받을 수 있습니다.

SOC 콘텐츠의 포괄적인 라이브러리는 SOC Prime의 플랫폼에 활성화된 계정을 가진 모든 사용자들에게 제공됩니다. Sigma 및 YARA 규칙을 탐색하여 비즈니스를 중단할 수 있는 랜섬웨어 침해를 감지하는 데 도움이 되는 Detect & Hunt 버튼을 클릭하세요. Explore Threat Context 버튼을 클릭하면 등록되지 않은 보안 전문가조차 모든 관련 컨텍스트가 포함된 최신 탐지 콘텐츠에 액세스할 수 있습니다.

Detect & Hunt Explore Threat Context

GoodWill 랜섬웨어 설명

매우 이례적인 위협 행위자가 2022년 봄 늦게 출현했습니다. 적들은 GoodWill 랜섬웨어를 퍼뜨려 피해자들이 ‘친절하고 상냥하게’ 행동하여 파일을 복호화하도록 강요하고 있습니다. CloudSEK 의 연구원들은 이러한 변종 유포의 배후에 있는 위협 행위자를 로빈 후드와 같은 적대자 그룹으로 분류했으며, 일부 해커의 흔적이 그들의 인도에 있는 위치를 나타내고 있습니다.

The GoodWill 이라는 이름의 랜섬웨어는 UPX 패커로 포장되어 있으며 감염 후 거의 12분 동안 휴면 상태를 유지하면서 동적 분석을 방해합니다. 랜섬웨어 노트에는 적들이 기대하는 것과 피해자가 Facebook 또는 Instagram 계정에 공유해야 하는 세 가지 자선 행위에 대한 지침이 자세히 설명되어 있습니다. 요구 사항이 충족되기 전까지 피해자의 파일은 암호화된 상태로 유지됩니다.

The ransomware note includes a detailed description of what adversaries expect and instructions on three goodwill tasks performed by the victim and shared on their Facebook or Instagram accounts. Until the demands are fulfilled, the victim’s files are held encrypted.

구독을 받으세요 Threat Detection Marketplace – 공동 사이버 방어를 위한 세계적인 플랫폼으로, 25개의 시장 선도적 SIEM, EDR 및 XDR 기술에 맞게 조정된 벤더 및 도구 간 SOC 콘텐츠를 제공합니다. 콘텐츠는 지속적으로 추가적인 위협 컨텍스트로 풍부해지며, 일련의 품질 보증 감사 과정을 통해 영향을 포함한 효율성, 오탐 여부 및 기타 운영 고려사항이 점검됩니다.