Detecção de GoodWill Ransomware: Novo Malware Obriga Suas Vítimas a Retribuírem à Sociedade

Um tipo bastante peculiar de malware recentemente chegou às manchetes. A nova cepa é chamada de ransomware GoodWill, e sua novidade reside na natureza das exigências que as vítimas têm que cumprir para obter a chave de descriptografia. Os operadores de ransomware, alegando que estão “famintos por bondade”, esperam que seus alvos apoiem aqueles que necessitam. Como parte das exigências do ransomware, esses atos forçados de caridade devem ser documentados e compartilhados online através das contas de mídia social da vítima.

A cepa de ransomware GoodWill foi vista pela primeira vez em março de 2022. A análise do malware mostrou que a variante em questão é baseada em .NET e usa o AES encrypt (também conhecido como Rijndael) para criptografar arquivos em um dispositivo comprometido. Pesquisadores identificaram 1246 strings deste ransomware, com 91 sobrepostas com o HiddenTear.

Detectar Ransomware GoodWill

The regra Sigma abaixo, lançada pelo perspicaz desenvolvedor Threat Bounty Furkan Celik, permite a detecção sem esforço dos últimos ataques envolvendo o ransomware GoodWill:

Detectar Arquivos Maliciosos do Grupo de Ransomware GoodWill (via file_event)

A regra está alinhada com o mais recente MITRE ATT&CK® framework v.10, abordando a tática de Comando e Controle com a técnica de Transferência de Ferramenta de Entrada (T1105). Os praticantes de segurança podem facilmente alternar entre vários formatos de SIEM, EDR e XDR para obter o código-fonte da regra aplicável a mais de 19 soluções de segurança.

Os adeptos da cibersegurança são mais do que bem-vindos para participar do Programa de Recompensa de Ameaças para compartilhar seu conteúdo SOC na plataforma líder do setor em troca de recompensas monetárias recorrentes.

Uma biblioteca abrangente de conteúdo SOC está disponível para todos os usuários com uma conta ativa na plataforma da SOC Prime. Clique no botão Detectar & Caçar para explorar regras Sigma e YARA que irão ajudá-lo a detectar violações de ransomware que podem interromper seu negócio. Ao clicar no botão Explorar Contexto de Ameaça , mesmo profissionais de segurança não registrados podem acessar conteúdo de detecção em tendência com todo o contexto relevante.

Detectar & Caçar Explorar Contexto de Ameaça

Descrição do Ransomware GoodWill

Um ator de ameaça muito incomum surgiu no final da primavera de 2022. Os adversários espalham o ransomware GoodWill, forçando suas vítimas a serem “gentis e bondosos” para ter seus arquivos descriptografados. Pesquisadores da CloudSEK etiquetaram os atores de ameaça por trás da distribuição da cepa como um grupo de adversários ao estilo Robin Hood, com alguns traços dos hackers indicando sua localização na Índia.

The ransomware chamado GoodWill é empacotado com pacotes UPX e permanece dormente após a infecção por quase 12 minutos para atrapalhar a análise dinâmica.

A nota do ransomware inclui uma descrição detalhada do que os adversários esperam e instruções sobre três tarefas de boa vontade realizadas pela vítima e compartilhadas em suas contas no Facebook ou Instagram. Até que as exigências sejam cumpridas, os arquivos da vítima permanecem criptografados.

Obtenha uma assinatura do Mercado de Detecção de Ameaças – uma plataforma líder mundial em defesa cibernética colaborativa que fornece conteúdo SOC entre fornecedores e ferramentas, adaptado a 25 tecnologias líderes de mercado de SIEM, EDR e XDR. O conteúdo é continuamente enriquecido com contexto adicional de ameaças, assim como verificado quanto ao impacto, eficiência, falsos positivos e outras considerações operacionais através de uma série de auditorias de garantia de qualidade.