I ricercatori di CloudSEK hanno rilevato e analizzato un nuovo ransomware che si chiama “GoodWill”, letteralmente “buona volontà”, che propaga richieste molto insolite in cambio della chiave di decrittazione: costringe le sue vittime a donare ai poveri e fornisce assistenza finanziaria ai pazienti bisognosi.
Il ransomware GoodWill è stato identificato nel marzo 2022. Come suggerisce il nome del gruppo di minacce, gli operatori sarebbero quindi interessati a promuovere la giustizia sociale piuttosto che guadagnare finanziariamente.
Una volta infettato, GoodWill crittografa documenti, foto, video, database e altri file importanti e li rende inaccessibili senza la chiave di decrittazione, dopodiché gli attori suggeriscono alle vittime di svolgere tre attività socialmente utili in cambio della chiave di decrittazione.
La prima consiste nel regalare vestiti nuovi ai senzatetto, registrare l’azione e pubblicarla sui social media. La seconda acquistare cibo e consegnarlo a cinque bambini meno fortunati e scattare foto e video pubblicandoli sui social media. La terza e ultima richiesta è fornire assistenza finanziaria a chiunque abbia bisogno di cure mediche urgenti ma non può permettersele, in un ospedale vicino, registrare l’audio e condividerlo con gli operatori.
Il gruppo ransomware richiede che le vittime registrino ogni attività e pubblichino obbligatoriamente le immagini, i video, ecc. sui propri account di social media.
Una volta completate tutte e tre le attività, le vittime dovrebbero anche scrivere una nota sui social media (Facebook o Instagram) su “Come ti sei trasformato in un essere umano gentile diventando vittima di un ransomware chiamato GoodWill”.
Non essendoci vittime e bersagli noti, le loro tattiche, tecniche e procedure rimangono sconosciute.
I ricercatori di CloudSEK sono stati in grado di risalire comunque all’indirizzo e-mail fornito dal gruppo ransomware, che fa riferimento a un’azienda indiana di soluzioni e servizi di sicurezza IT. Hanno anche rilevato che esistono circa 1246 stringhe di questo ransomware, di cui 91 si sovrappongono al ransomware HiddenTear (ransomware open source sviluppato da un programmatore turco il cui PoC è stato poi rilasciato su GitHub) il che farebbe pensare che gli operatori di GoodWill potrebbero aver ottenuto l’accesso a questo e potrebbero aver creato il nuovo ransomware con le modifiche necessarie.
