GoodWill Ransomware prova a giocare a Robin Hood

GoodWill è un ceppo di ransomware relativamente nuovo analizzato dai ricercatori di sicurezza con CloudSEK.

Ciò che distingue in particolare GoodWill dalla maggior parte degli altri cloni di ransomware e dalle famiglie più numerose è la richiesta di riscatto e la presunta motivazione dell'operatore del ransomware. GoodWill fa del suo meglio per persuadere le vittime e il mondo in generale che il gruppo dietro non è un gruppo di criminali informatici ma benefattori e difensori di cause nobili. Naturalmente, è difficile quando si utilizzano tattiche di estorsione informatica.

The GoodWill contiene una richiesta di riscatto sorprendentemente lunga, suggerendo che la vittima del malware dovrebbe compiere strani atti di carità. La prima pagina invita a "fornire nuovi vestiti/coperte alle persone bisognose" e persino a "fare un video di questo evento". La seconda "buona azione" è prendere i bambini poveri "del tuo quartiere" e portarli fuori a mangiare la pizza, per "farli sentire felici". La terza pagina chiede alla vittima del ransomware di andare in ospedale e aiutare le persone che hanno bisogno di soldi per le cure.

Quelle richieste estremamente insolite sono ciò che gli hacker si aspettano per inviare una chiave di decrittazione.

Dal punto di vista tecnico, GoodWill crittografa i file utilizzando AES. Il ransomware viene scritto e compilato utilizzando .NET e quindi impacchettato utilizzando gli strumenti di compressione UPX.

Il ransomware, una volta eseguito, dorme per oltre 10 minuti, nel tentativo di eludere l'analisi dinamica. L'esame eseguito da CloudSEK mostra una significativa sovrapposizione tra GoodWill e il ransomware HiddenTear, il cui codice proof of concept è stato caricato pubblicamente online.