网络安全研究人员披露了一种名为GoodWill的新型勒索软件,它迫使受害者为社会事业捐款,并向有需要的人提供经济援助。
CloudSEK 的研究人员在上周发布的一份报告中说: “勒索软件组织传播非常不寻常的要求以换取解密密钥。” “类似罗宾汉的组织声称有兴趣帮助不幸的人,而不是为了经济动机敲诈受害者。”该勒索软件以 .NET 编写,于 2022 年 3 月由这家位于印度的网络安全公司首次发现,感染导致敏感文件在不解密的情况下无法访问。该恶意软件使用AES 算法进行加密,还因休眠 722.45 秒以干扰动态分析而著称。
加密过程之后会显示一个多页的赎金记录,要求受害者进行三项社会驱动的活动才能获得解密工具包。
这包括向无家可归者捐赠新衣服和毯子,带任何五个贫困儿童去达美乐比萨店、必胜客或肯德基接受治疗,并为需要紧急医疗护理但没有经济能力的患者提供经济支持所以。
此外,受害者被要求以屏幕截图和自拍的形式记录活动,并将其作为证据发布在他们的社交媒体账户上。
研究人员说:“一旦完成所有三项活动,受害者还应该在社交媒体(Facebook 或 Instagram)上写下‘你如何通过成为名为 GoodWill 的勒索软件的受害者而将自己变成一个善良的人’的说明。”
没有已知的 GoodWill 受害者,他们用于促进攻击的确切策略、技术和程序 (TTP) 尚不清楚。
威胁参与者的身份也无法识别,尽管对电子邮件地址和网络工件的分析表明操作员来自印度并且他们说印地语。
对勒索软件样本的进一步调查还发现,它与另一个名为HiddenTear的基于 Windows 的菌株存在重大重叠,这是 2015 年土耳其程序员作为概念验证 (PoC) 开源的第一个勒索软件。
研究人员说:“GoodWill 运营商可能已经获得了访问权限,从而允许他们创建一个经过必要修改的新勒索软件。”