Cybersecurity-Forscher haben einen neuen Ransomware-Stamm namens GoodWill aufgedeckt, der seine Opfer dazu zwingt, für soziale Zwecke zu spenden und Menschen in Not finanzielle Unterstützung zukommen zu lassen.
„Die Ransomware-Gruppe propagiert sehr ungewöhnliche Forderungen im Austausch für den Entschlüsselungsschlüssel“, so die Forscher von CloudSEK in einem Bericht, der letzte Woche veröffentlicht wurde. „Die Robin-Hood-ähnliche Gruppe behauptet, sie wolle den weniger Glücklichen helfen, anstatt die Opfer aus finanziellen Gründen zu erpressen.“
Die in .NET geschriebene Ransomware wurde von der indischen Cybersecurity-Firma erstmals im März 2022 identifiziert, wobei die Infektionen sensible Dateien unzugänglich machen, ohne sie zu entschlüsseln. Die Malware, die den AES-Algorithmus zur Verschlüsselung nutzt, zeichnet sich auch dadurch aus, dass sie 722,45 Sekunden lang schläft, um die dynamische Analyse zu stören.
Nach der Verschlüsselung wird eine mehrseitige Lösegeldforderung angezeigt, in der die Opfer aufgefordert werden, drei sozial motivierte Aktivitäten durchzuführen, um das Entschlüsselungskit zu erhalten.
Dazu gehört, Obdachlosen neue Kleidung und Decken zu spenden, fünf unterprivilegierte Kinder zu Domino’s Pizza, Pizza Hut oder KFC einzuladen und Patienten finanziell zu unterstützen, die dringend ärztliche Hilfe benötigen, aber nicht die finanziellen Mittel dazu haben.
Außerdem werden die Opfer gebeten, die Aktivitäten in Form von Screenshots und Selfies festzuhalten und sie als Beweis auf ihren Social-Media-Konten zu posten.
Sobald alle drei Aktivitäten abgeschlossen sind, sollen die Opfer auch eine Notiz in den sozialen Medien (Facebook oder Instagram) schreiben: „Wie du dich in einen freundlichen Menschen verwandelt hast, indem du Opfer einer Ransomware namens GoodWill wurdest“, so die Forscher.
Es sind noch keine Opfer von GoodWill bekannt und die genauen Taktiken, Techniken und Verfahren (TTPs), die zur Durchführung der Angriffe verwendet werden, sind noch unklar.
Auch die Identität der Angreifer ist unbekannt, obwohl eine Analyse der E-Mail-Adresse und der Netzwerkartefakte darauf schließen lässt, dass die Betreiber aus Indien stammen und Hindi sprechen.
Weitere Untersuchungen des Ransomware-Samples haben außerdem erhebliche Überschneidungen mit einem anderen Windows-basierten Stamm namens HiddenTear ergeben, der ersten Ransomware, die 2015 von einem türkischen Programmierer als Proof-of-Concept (PoC) veröffentlicht wurde.
„Die Betreiber von GoodWill haben sich möglicherweise Zugang zu dieser Datei verschafft, um eine neue Ransomware mit den notwendigen Änderungen zu erstellen“, so die Forscher.