Peneliti keamanan siber telah mengungkapkan jenis ransomware baru yang disebut niat baik yang memaksa korban untuk menyumbang untuk tujuan sosial dan memberikan bantuan keuangan kepada orang yang membutuhkan.
“Grup ransomware menyebarkan permintaan yang sangat tidak biasa sebagai ganti kunci dekripsi,” kata peneliti dari CloudSEK dalam sebuah laporan yang diterbitkan minggu lalu. “Kelompok seperti Robin Hood mengaku tertarik membantu yang kurang beruntung, daripada memeras korban untuk motivasi keuangan.”
Ditulis dalam .NET, ransomware pertama kali diidentifikasi oleh perusahaan keamanan siber yang berbasis di India pada Maret 2022, dengan infeksi yang membuat file sensitif tidak dapat diakses tanpa mendekripsinya. Malware, yang menggunakan algoritma AES untuk enkripsi, juga terkenal karena tidur selama 722,45 detik untuk mengganggu analisis dinamis.
Proses enkripsi diikuti dengan menampilkan catatan tebusan beberapa halaman yang mengharuskan para korban untuk melakukan tiga kegiatan sosial untuk dapat memperoleh kit dekripsi.
Ini termasuk menyumbangkan pakaian dan selimut baru kepada para tunawisma, membawa lima anak kurang mampu ke Domino’s Pizza, Pizza Hut, atau KFC untuk perawatan, dan menawarkan dukungan keuangan kepada pasien yang membutuhkan perhatian medis mendesak tetapi tidak memiliki sarana keuangan untuk melakukannya. jadi.
Selain itu, para korban diminta untuk merekam aktivitasnya dalam bentuk screenshot dan selfie dan mempostingnya sebagai bukti di akun media sosial mereka.
“Setelah ketiga kegiatan selesai, para korban juga harus menulis catatan di media sosial (Facebook atau Instagram) tentang ‘Bagaimana Anda mengubah diri Anda menjadi manusia yang baik dengan menjadi korban ransomware yang disebut GoodWill,'” kata para peneliti.
Tidak ada korban GoodWill yang diketahui dan taktik, teknik, dan prosedur (TTP) mereka yang digunakan untuk memfasilitasi serangan masih belum jelas.
Juga tidak dikenali identitas pelaku ancaman, meskipun analisis alamat email dan artefak jaringan menunjukkan bahwa operatornya berasal dari India dan mereka berbicara bahasa Hindi.
Penyelidikan lebih lanjut terhadap sampel ransomware juga telah mengungkapkan tumpang tindih yang signifikan dengan jenis lain berbasis Windows yang disebut HiddenTear, ransomware pertama yang bersumber terbuka sebagai proof-of-concept (PoC) pada tahun 2015 oleh seorang programmer Turki.
“Operator GoodWill mungkin telah memperoleh akses ke ini yang memungkinkan mereka untuk membuat ransomware baru dengan modifikasi yang diperlukan,” kata para peneliti.