貧しい人々への寄付を強要する義賊のようなランサムウェア「GoodWill」が登場

人工知能(AI)を用いたサイバーセキュリティサービスを提供するCloudSEKが、貧しい人々への寄付を強要するランサムウェア「GoodWill」の存在を指摘しています。

GoodWill ransomware forces victims to donate to the poor and provides financial assistance to patients in need - CloudSEK
https://cloudsek.com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/

CloudSEKの脅威インテリジェンス研究チームが、「GoodWill」と呼ばれるランサムウェアの分析を進めています。研究チームによると、感染したPC内のデータを暗号化して読み取り不可能にしてしまうランサムウェアは、通常は金銭と引き換えにデータを復号化するためのキーを配布します。しかし、GoodWillを使用して攻撃を仕掛けるとあるグループは、被害者に対して「恵まれない人々に寄付するように」と述べてくるそうです。

CloudSEKの脅威インテリジェンス研究チームが最初に「GoodWill」を検出したのは2022年3月のこと。このGoodWillを利用してランサムウェアをばら撒くハッカー集団は、金銭目的ではなく社会正義のためにこの攻撃を行っていると見られています。CloudSEKによると、GoodWillの特徴は以下の通り。

・.NETで記述され、UPXでパッキングされている
・マルウェアの動的分析を妨害するために、動作を722.45秒スリープさせる
・AES_Encrypt関数を利用してAESアルゴリズムを使用してデータを暗号化する
・感染したデバイスの地理的位置を検出しようとする「GetCurrentCityAsync」という文字列が含まれる

GoodWillに感染したPCは、ドキュメント・写真・動画・データベース・その他の重要ファイルが暗号化されてしまい、復号化キーがないとこれらのデータにアクセスできなくなります。その後、攻撃者は被害者に対して復号化キーの代わりに3つの社会正義的活動を求めます。攻撃者が求める3つの活動は以下の通り。

1：ホームレスに新しい服を寄付し、その行動を記録し、ソーシャルメディアに投稿する
2：恵まれない5人の子どもをドミノピザ、ピザハット、ケンタッキー・フライド・チキンのいずれかに連れていき、食事の様子を写真や動画で撮影してソーシャルメディアに投稿する
3：緊急の医療を必要としているものの、それを実施するほどの経済的余裕がない人に対して、財政的な支援を提供し、その音声を録音して共有する

攻撃者は3つの社会活動が完了したのち、FacebookあるいはInstagramに「GoodWillというランサムウェアの被害者になったことで、自分がいかに親切な人間になったか」を書き込むよう要請されるそうです。なお、GoodWillの既知の被害者は存在していないため、攻撃者側の戦術・技術・攻撃手順には不明な点も多いとCloudSEKは記しています。

被害者が3つの社会活動を完了したことを報告すると、攻撃者は被害者によるソーシャルメディアへの投稿を確認します。社会活動の確認が完了したのち、攻撃者はメインの復号化ツール・パスワードファイル・重要なファイルを復元するための方法に関するビデオチュートリアルを含む復号化キットを提供するそうです。

なお、CloudSEKの研究チームは、攻撃者から提供されたメールアドレスがエンドツーエンドのマネージドセキュリティサービスを提供するインド拠点のITセキュリティソリューション企業のものであることを特定しています。また、GoodWillには1246の文字列が含まれており、そのうち91の文字列は「HiddenTear」と呼ばれるランサムウェアに含まれる文字列であったそうです。HiddenTearはトルコ人プログラマーが作成したオープンソースのランサムウェアであり、その概念実証はGitHub上で公開されています。そのため、CloudSEKは「GoodWillのオペレーターはGitHubにアクセスして必要な変更を加えた新しいランサムウェア(GoodWill)を作成できるようになっている可能性があります」と指摘しています。

CloudSEKの研究者が発見したGoodWillに含まれる文字列のうち、興味深いものが以下の通り。

error hai bhaiya：これはヒングリッシュの「エラーがあります、兄弟」という意味であり、オペレーターがインド出身のヒンディー語の話者であることを示しています
.gdwill：ランサムウェアがファイルの暗号化に使用するファイル拡張子が「.gdwill」

さらに、GoodWillに関連するネットワークアーティファクトのうち、CloudSEKの研究チームが発見したものが以下。

・http://9855-13-235-50-147.ngrok.io/(GoodWillランサムウェアのダッシュボード)
・http://9855-13-235-50-147.ngrok.io/alertmsg.zip
・http://9855-13-235-50-147.ngrok.io/handshake.php
・http://84a2-3-109-48-136.ngrok.io/kit.zip

以下がGoodWillランサムウェアのダッシュボード

さらに、攻撃者は「3.109.48.136」と「13.235.50.147」という2つのIPアドレスを利用しており、これがインド・ムンバイのものであることが明らかになっています。

CloudSEKはGoodWillの影響として、「商慣行や知的財産といった機密情報の漏えい」「会社のデータが一時的、場合によっては永続的に失われる可能性」「会社の事業が停止する可能性とそれに伴う損失の発生」「データ修復作業に関連する経済的損失の発生」「会社の評判に傷がつく可能性」「アカウント乗っ取りの可能性」「攻撃者が名前・生年月日・住所といった個人情報を、ソーシャルエンジニアリングや個人情報の盗難と組み合わせて使用​​する可能性」などを挙げています。