O grupo de ransomware Goodwill propaga demandas muito incomuns em troca da chave de decodificação. O grupo semelhante ao Robin Hood está forçando suas vítimas a doar aos pobres e fornece assistência financeira aos pacientes necessitados. Categoria: Inteligência de malwareTipo/família: RansomwareIndústria: MúltiploRegião: Global

Sumário executivo

• CloudSEKA equipe de pesquisa de inteligência de ameaças analisou recentemente o ransomware GoodWill.
• O grupo de ransomware propaga demandas muito incomuns em troca da chave de decodificação. O grupo parecido com Robin Hood afirma estar interessado em ajudar os menos afortunados, em vez de extorquir vítimas por motivos financeiros.
• A nota de resgate de várias páginas do grupo sugere que as vítimas realizem três atividades sociais para poder baixar a chave de decodificação.
• Os pesquisadores do CloudSEK identificaram certos artefatos do grupo de ameaças que indicam atribuição direta à Índia.

[caption id="attachment_19410" align="alignnone” width="1395"] Página de notas de resgate da GoodWill que explica o objetivo do grupo [/caption]

Análise e atribuição para GoodWill Ransomware

Características do GoodWill Ransomware

O ransomware GoodWill foi identificado pelos pesquisadores do CloudSEK em março de 2022. Como o nome do grupo ameaçador sugere, os operadores estão supostamente interessados em promover a justiça social em vez de razões financeiras convencionais. Os pesquisadores do CloudSEK conseguiram identificar as seguintes características do GoodWill:

• O ransomware é escrito em.NET e embalado com empacotadores UPX.
• Ele dorme por 722,45 segundos para interferir na análise dinâmica.
• Ele aproveita a função AES_Encrypt para criptografar, usando o algoritmo AES.
• Uma das sequências de caracteres é “getCurrentCityAsync”, que tenta detectar a geolocalização do dispositivo infectado.

Uma vez infectado, o worm ransomware GoodWill criptografa documentos, fotos, vídeos, bancos de dados e outros arquivos importantes e os torna inacessíveis sem a chave de decodificação. Os atores sugerem que as vítimas realizem três atividades sociais em troca da chave de decodificação:

• Atividade 1: Doe roupas novas para os desabrigados, registre a ação e publique-a nas redes sociais.

[caption id="attachment_19411" align="alignnone” width="1420"] GoodWill Ransomware: Imagem da atividade 1 descrita em detalhes [/caption]

• Atividade 2: Leve cinco crianças menos afortunadas ao Dominos, Pizza Hut ou KFC para uma guloseima, tire fotos e faça vídeos e publique-os nas redes sociais.

[caption id="attachment_19412" align="alignnone” width="1326"] GoodWill Ransomware: Imagem da atividade 2 descrita em detalhes [/caption]

• Atividade 3: Forneça assistência financeira a qualquer pessoa que precise de atendimento médico urgente, mas não possa pagar, em um hospital próximo, grave áudio e compartilhe-o com os operadores.

[caption id="attachment_19413" align="alignnone” width="1169"] GoodWill Ransomware: imagem da atividade 3 e detalhes da aquisição do kit de decodificação [/caption]

• O grupo de ransomware exige que as vítimas registrem cada atividade e publiquem obrigatoriamente as imagens, vídeos etc. em suas contas de mídia social.
• Depois que as três atividades forem concluídas, as vítimas também devem escrever uma nota nas redes sociais (Facebook ou Instagram) sobre “Como você se transformou em um ser humano gentil ao se tornar vítima de um ransomware chamado GoodWill”.
• Como não há vítimas/alvos conhecidos para o grupo de ransomware, suas táticas, técnicas e procedimentos permanecem desconhecidos.

Como adquirir o kit de descriptografia para o GoodWill Ransomware

Ao concluir todas as três atividades, os operadores de ransomware verificam os arquivos de mídia compartilhados pela vítima e suas postagens nas redes sociais. O ator então compartilhará o kit de descriptografia completo, que inclui a principal ferramenta de descriptografia, arquivo de senha e um tutorial em vídeo sobre como recuperar todos os arquivos importantes.

Informações de código aberto

• Nossos pesquisadores conseguiram rastrear o endereço de e-mail, fornecido pelo grupo de ransomware, até uma empresa indiana de soluções e serviços de segurança de TI, que fornece serviços de segurança gerenciados de ponta a ponta.
• Ao analisar o ransomware, os pesquisadores de inteligência de ameaças do CloudSEK extraíram as sequências de caracteres do GoodWill:
  • Existem cerca de 1246 strings desse ransomware, das quais 91 strings se sobrepõem ao ransomware HiddenTear.
  • O HiddenTear é um ransomware de código aberto desenvolvido por um programador turco e seu PoC foi então lançado no GitHub. Os operadores do GoodWill podem ter obtido acesso a isso, permitindo que criassem um novo ransomware com as modificações necessárias.
  • Os pesquisadores do CloudSEK acharam interessantes as seguintes sequências do malware:
    • “error hai bhaiya”: Essa string está escrita em inglês, o que significa “há um erro, irmão”. Isso indica que os operadores são da Índia e falam hindi.

• • • “.gdwill”: Essa string indica que a extensão de arquivo usada pelo ransomware na criptografia de arquivos é .gdwill.

• Os seguintes artefatos de rede, associados ao GoodWill, foram descobertos por nossos pesquisadores. Estes são túneis de ransomware GoodWill que também são subdomínios do Ngrok.io:
  • http://9855-13-235-50-147(.)ngrok(.)io/ (Painel do ransomware GoodWill)
  • http://9855-13-235-50-147(.)ngrok(.)io/alertmsg(.)zip
  • http://9855-13-235-50-147(.)ngrok(.)io/handshake(.)php
  • http://84a2-3-109-48-136(.)ngrok(.)io/kit(.)zip

[caption id="attachment_19417" align="alignnone” width="840"] Painel do grupo de ransomware GoodWill conforme direcionado de http://9855-13-235-50-147(.)ngrok(.)io[/caption] [caption id="attachment_19416" align="alignnone” width="1917"] Painel do grupo de ransomware GoodWill [/caption]

• Conforme mostrado acima, os endereços IP 3.109.48.136 e 13.235.50.147 são fornecidos como subdomínios na URL. Em uma investigação detalhada, nossos pesquisadores descobriram que os dois endereços IP estão localizados em Mumbai, Índia.

[caption id="attachment_19419" align="alignnone” width="822"] Informações de IP em 3.109.48.136 e 13.235.50.147 [/caption]

Impacto e mitigação

ImpactoMitigação

• Os detalhes confidenciais expostos podem revelar práticas comerciais e propriedade intelectual.
• Isso também pode resultar na perda temporária e possivelmente permanente dos dados da empresa.
• Uma possível paralisação das operações da empresa e uma perda de receita acompanhada.
• Perda financeira associada aos esforços de remediação.
• Danos à reputação da empresa.
• Possíveis aquisições de contas.
• Os criminosos podem usar dados pessoais, como nome, data de nascimento, endereço etc., em conjunto com engenharia social e roubo de identidade.

• Audite e monitore registros de eventos e incidentes para identificar padrões e comportamentos incomuns.
• Implemente configurações de segurança em dispositivos de infraestrutura de rede, como firewalls e roteadores.
• Ative ferramentas e aplicativos que impedem a execução de programas maliciosos.
• Redefina as credenciais de login do usuário comprometidas e implemente uma política de senha forte.
• Aplique medidas de proteção, backup e recuperação de dados.
• Implemente a autenticação multifatorial em todos os dispositivos e plataformas.
• Realize avaliações e treinamentos de habilidades de segurança para todo o pessoal regularmente.
• Realize exercícios periódicos para a equipe vermelha e testes de penetração.
• Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições.

Indicadores de compromisso (IOCs)

• MD5: cea1cb418a313bdc8e67dbd6b9ea05ad
• SHA-1:8d1af5b53c6100ffc5ebbfbe96e4822dc583dca0
• SHA-256:0facf95522637feaa6ea6f7c6a59ea4e6b7380957a236ca33a6a0dc82b70323c
• Vash: 27503675151120c514b10412
• Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Referências

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Apêndice

[caption id="attachment_19420" align="alignnone” width="1465"] Mensagem de introdução sobre como iniciar o ataque de ransomware [/caption] [caption id="attachment_19421" align="alignnone” width="1427"] Introdução ao ransomware GoodWill [/caption] [caption id="attachment_19422" align="alignnone” width="282"] Imagem explicando como a vítima pode enviar provas de suas atividades [/caption] [caption id="attachment_19423" align="alignnone” width="782"] Moldura fotográfica fornecida após a conclusão de todas as atividades [/caption]

Menções à imprensa

Este relatório foi mencionado em

• Novo vírus força as pessoas a doarem para os pobres se quiserem que seus dados sejam recuperados | https://metro.co.uk/2022/05/24/new-ransomware-demands-victims-donate-to-the-poor-to-unlock-their-data-16698304/ | Metro do Reino Unido - 24 de maio de 2022
• Novo ransomware faz com que a vítima doe ajuda financeira para pacientes carentes | https://economictimes.indiatimes.com/tech/technology/new-ransomware-makes-victim-donate-to-poor-financial-help-to-needy-patients/articleshow/91726417.cms | Economic Times Tech - 22 de maio de 2022
• Crime cibernético ou caridade forçada? O ransomware 'Goodwill' faz com que a vítima doe ajuda financeira a pacientes necessitados para ajudar pacientes carentes | https://www.financialexpress.com/industry/technology/cyber-crime-or-forced-charity-goodwill-ransomware-makes-victim-donate-to-poor-financial-help-to-needy-patients/2533802/ | Financial Express - 22 de maio de 2022
• O novo ransomware 'GoodWill' faz com que os alvos doem aos pobres e forneçam ajuda financeira a pacientes necessitados | https://www.cnbctv18.com/information-technology/new-goodwill-ransomware-victim-donate-poor-financial-help-needy-patients-cloudsek-13583332.htm | CNBC TV 18 - 23 de maio de 2022
• O ransomware GoodWill detectado na Índia faz com que a vítima doe para pobres e fornece ajuda financeira a pacientes necessitados | https://www.businessinsider.in/tech/news/goodwill-ransomware-detected-in-india-makes-victim-donate-to-poor-provides-financial-help-to-needy-patients/amp_articleshow/91736850.cms | Business Insider - 23 de maio de 2022
• O ransomware Goodwill quer que você ajude pessoas necessitadas a obter uma chave de decodificação | https://www.bgr.in/news/goodwill-ransomware-wants-you-to-help-needy-people-to-get-decryption-key-1274011/ | BGR Índia - 23 de maio de 2022