Identifican un 'malware' tipo 'Robin Hood' que obliga a las víctimas a hacer donaciones y ayudar a personas necesitadas

Investigadores de ciberseguridad han descubierto un nuevo programa malicioso de 'ransomware' (o 'secuestro de datos') llamado GoodWill que obliga a las víctimas a hacer donaciones para causas sociales y proporcionar ayuda financiera a personas necesitadas.

Los especialistas de la empresa india CloudSEK explicaron en un informe que los responsables del 'ransomware' exigen "demandas muy inusuales a cambio de la clave de descifrado". "El grupo tipo 'Robin Hood' afirma estar interesado en ayudar a los menos afortunados, en lugar de extorsionar a las víctimas por motivaciones financieras", agregaron.

El 'malware', identificado por primera vez por los expertos de la compañía el pasado mes de marzo, encripta archivos sensibles y los hace inaccesibles hasta obtener la clave de descifrado. El programa, que hace uso del algoritmo AES para el cifrado, destaca por permanecer dormido durante 722,45 segundos para interferir el análisis dinámico.

Detectan la nueva versión de un 'malware' que es capaz de restablecer de fábrica los móviles con Android tras robar los datos (o el dinero)

Tras el proceso de encriptado, se muestra una nota de rescate de varias páginas que exige a las víctimas que realicen tres actividades de carácter social para poder obtener un kit de descifrado: donar ropa nueva y mantas a personas sin hogar, llevar a cinco niños desfavorecidos a Domino's Pizza, Pizza Hut o KFC y ofrecer apoyo financiero a pacientes que necesitan atención médica urgente pero no tienen medios económicos para recibirla. Además, se pide a las víctimas que prueben sus acciones benéficas publicando capturas de pantalla y selfis en sus redes sociales.

"Una vez completadas las tres actividades, las víctimas también deben escribir una nota en las redes sociales sobre 'Cómo te transformaste en un ser humano amable al convertirte en víctima de un 'ransomware' llamado GoodWill'", señalaron los investigadores.

Los expertos apuntaron que aún no están claros los procedimientos, tácticas y técnicas exactos utilizados por GoodWill para facilitar los ataques. Tampoco se conoce la identidad del actor de la amenaza, aunque un análisis de la dirección de correo electrónico y otros elementos sugiere que sus operadores son de la India y hablan hindi.

Una investigación adicional de la muestra de 'ransomware' también reveló solapamientos significativos con otra 'cepa' basada en Windows, llamada HiddenTear, el primer troyano 'ransomware', que fue desarrollado por un programador turco y apareció en 2015.

"Los operadores de GoodWill pueden haber accedido a ella para crear un nuevo 'ransomware' con las modificaciones necesarias", concluyeron los especialistas.