GoodWill Ransomware essaie de jouer à Robin Hood

GoodWill est une souche de ransomware relativement nouvelle analysée par des chercheurs en sécurité avec CloudSEK.

Ce qui distingue particulièrement GoodWill de la majorité des autres clones de ransomwares et des grandes familles, c'est la note de rançon et la prétendue motivation de l'opérateur du ransomware. GoodWill fait de son mieux pour persuader les victimes et le monde en général que le groupe derrière n'est pas un groupe de cybercriminels mais des bienfaiteurs et des champions de nobles causes. Bien sûr, c'est difficile lorsque vous utilisez des tactiques de cyber-extorsion.

Le GoodWill contient une note de rançon étonnamment longue, suggérant que la victime du malware devrait accomplir des actes de charité étranges. La première page appelle à "fournir de nouveaux vêtements/couvertures aux personnes dans le besoin" et même "faire une vidéo de cet événement". La deuxième "bonne action" est de prendre des enfants pauvres "de votre quartier" et de les emmener manger une pizza, pour "les rendre heureux". La troisième page demande à la victime du rançongiciel de se rendre à l'hôpital et d'aider les personnes qui ont besoin d'argent pour se faire soigner.

Ces demandes extrêmement inhabituelles sont ce à quoi les pirates s'attendent pour envoyer une clé de déchiffrement.

Sur le plan technique, GoodWill crypte les fichiers à l'aide d'AES. Le ransomware est écrit et compilé à l'aide de .NET et est ensuite compressé à l'aide des outils de conditionnement UPX.

Le ransomware, une fois exécuté, dort pendant plus de 10 minutes, dans une tentative d'esquiver l'analyse dynamique. L'examen effectué par CloudSEK montre un chevauchement important entre GoodWill et le rançongiciel HiddenTear, dont le code de preuve de concept a été téléchargé publiquement en ligne.

June 1, 2022