İyi Niyetli Fidye Yazılımı Yoksullara Bağış Yapmayı Talep Ediyor

CloudSEK'in Tehdit İstihbaratından araştırma ekibi geçenlerde mağdurları yoksullara bağışta bulunmaya zorlayan ve ihtiyacı olan hastalara finansal yardım sağlayan GoodWill fidye yazılımını açıkladı.

CloudSEK'in araştırmacılarına göre, "Goodwill fidye yazılımı grubu, şifre çözme anahtarı karşılığında çok sıra dışı talepler yayıyor. Robin Hood benzeri grup, kurbanlarını yoksullara bağışta bulunmaya zorluyor ve ihtiyacı olan hastalara maddi yardım sağlıyor."

GoodWill fidye yazılımı, Mart 2022'de Hindistan merkezli siber güvenlik firması tarafından tespit edildi. "Tehdit grubunun adından da anlaşılacağı gibi, operatörlerin geleneksel finansal nedenlerden ziyade sosyal adaleti teşvik etmekle ilgilendikleri iddia ediliyor".

GoodWill Ransomware'in Özellikleri

Bu fidye yazılımı .NET ile yazılmıştır ve UPX paketleyicileri ile doludur. Dinamik analize müdahale etmek için 722,45 saniye uyur. Fidye yazılımı, AES algoritmasını kullanarak şifrelemek için AES_Encrypt işlevinden yararlanır. Dizelerden biri, virüslü cihazın coğrafi konumunu algılamaya çalışan "GetCurrentCityAsync" dir.

Şifre Çözme Anahtarı Karşılığında Etkinlikler

Robinhood'a oldukça benziyor, çünkü fidye yazılımı kripto para birimlerinde para talep etmiyor, bunun yerine kurbanlara şifre çözme anahtarını almak için gerçekleştirmeleri için dört etkinlik veriyor. Fidye yazılımı solucanı belgeleri, fotoğrafları, videoları, veritabanlarını ve diğer önemli dosyaları şifreler ve şifre çözme anahtarı olmadan erişilemez hale getirir.

• Aktivite 1: Evsizlere yeni kıyafetler bağışlayın, eylemi kaydedin ve sosyal medyada yayınlayın
• Aktivite 2: Yoksun beş çocuğu ikram için Dominos, Pizza Hut veya KFC'ye götürün, fotoğraf ve video çekin ve sosyal medyada yayınlayın.
• Aktivite 3: Acil tıbbi yardıma ihtiyacı olan ancak bunu karşılayamayan herkese, yakındaki bir hastanede ses kaydı yapın ve operatörlerle paylaşın.

Verilen tüm görevleri tamamladıktan sonra, kurbanların sosyal medya hesaplarında "GoodWill adlı bir fidye yazılımının kurbanı olarak kendinizi nasıl nazik bir insana dönüştürdüğünüzü" yayınlamaları gerekiyor.

Aktörler, kurbanların tüm faaliyetlerin video kanıtlarını kaydetmeleri ve sosyal medyada yayınlamaları konusunda ısrar ediyorlar ve bu yayınlar onlar tarafından doğrulanacak. Ardından tehdit aktörleri, ana şifre çözme aracını, şifre dosyasını ve tüm önemli dosyaların nasıl kurtarılacağına dair bir video eğitimini içeren şifre çözme kitinin tamamını paylaşacaktır.

Analizden sonra, araştırmacılar bu fidye yazılımının yaklaşık 1246 dizesini tanımlayabildiler; bunlardan 91 dize, 2015 yılında bir Türk programcı tarafından kavram kanıtı (PoC) olarak açık kaynaklı olarak kullanılan ilk fidye yazılımı olan 'HiddenTear fidye yazılımı' ile çakışıyor. Ayrıca, e-posta adresinin ve ağ eserlerinin analizi, operatörlerin Hindistan'dan geldiğini ve Hintçe konuştuklarını göstermektedir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.