Ransomware “do bem” pede doações para liberar acesso a arquivos das vítimas

Ransomware “do bem” pede doações para liberar acesso a arquivos das vítimas

Por Felipe Demartini | Editado por Claudio Yuge | 26 de Maio de 2022 às 19h20
Clint Patterson/Unsplash

O ganho financeiro costuma ser o objetivo final das infecções por ransomware, mas este não é o caso do GoodWill. A praga descoberta em março deste ano e não pede resgates em troca da chave que dá acesso os arquivos travados, mas sim, a realização de boas ações, como doações e auxílio aos mais pobres, para liberação dos dados.

A campanha descoberta pelos especialistas em segurança da CloudSek funciona em etapas, cada uma com tarefas a serem concluídas. Na primeira, por exemplo, a ideia é doar cobertores e roupas para moradores de rua; na segunda, o objetivo é levar pelo menos cinco crianças carentes para comer em redes de fast food; a terceira, por fim, envolve a ida a um hospital próximo para prestação de ajuda financeira a alguém que não possa pagar pelo tratamento.

Todos os atos devem ser filmados e postados em redes sociais, falando sobre como a vítima “se tornou uma pessoa melhor ao ser atingida pelo ransomware GoodWill”. Uma vez que os atacantes verificarem que os atos foram realizados, a chave de criptografia é liberada e os dados travados pela ação do malware são liberados.

Nota de resgate do ransomware GoodWill pede boas ações em troca da liberação dos arquivos; tarefas envolvem doações, compra de comida e pagamento de tratamentos médicos (Imagem: Reprodução/CloudSek)

Apesar da análise técnica, os especialistas não foram capazes de entender o método de disseminação do ransomware, uma vez que vítimas não puderam ser confirmadas. Entretanto, sites relacionados ao GoodWill foram localizados e incluem páginas de login, por onde os atingidos podem negociar com os criminosos sobre a liberação, bem como registrarem o envio das boas ações.

De acordo com a CloudSek, o vírus foi desenvolvido a partir de um ransomware de código aberto chamado HiddenTear, de origem turca e disponível no GitHub. Existem, entretanto, diferentes alterações em sua programação, que indicam os operadores da praça como indianos, com anotações e mensagens de erro no idioma do país, bem como IPs de lá usados pelos servidores de comando e controle.

Sem os parâmetros diretos de contaminação, fica difícil entender como o ransomware se propaga. Ainda assim, recomendações usuais ajudam a evitar ataques desse tipo, como manter sistemas e softwares sempre atualizados, usar senhas seguras, autenticação em duas etapas e monitorar a infra em busca de movimentações atípicas ou sinais de problemas. A CloudSek, também, liberou indicadores de comprometimento relacionados ao GoodWill, que podem ser incluídos em sistemas de vigilância.

Fonte: CloudSek

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.