L’attacco ransomware che chiede buone azioni come riscatto

Si chiamano “attacchi”, ma hanno modalità e – soprattutto – effetti differenti. È il caso del ransomware denominato GoodWill, dal cui nome già si deducono le differenze rispetto a espedienti simili che paralizzano le attività informatizzate di aziende pubbliche e/o private. Il modus operandi è sempre lo stesso: si sfruttano le vulnerabilità dei sistemi informatici per sottrarre e togliere dalla disposizione dei server aziendali dati (anche sensibili) privati. E, come accade per tutti i ransomware, si avviano le trattative che partono da una richiesta di riscatto per procedere con la restituzione del maltolto. Ma in questo caso, non si parla di soldi.

LEGGI ANCHE > I 623 milioni previsti dal governo per la strategia italiana di cybersicurezza

GoodWill è diverso. La scoperta arriva dal team di Threat Intelligence Research di CloudSEK, che ha rilevato l’arrivo di questo ransomware nel mese di marzo. Un attacco diverso dagli altri: invece di chiedere soldi, le “vittime” devono compiere buone azioni nei confronti dei più bisognosi. Ed esiste anche un elenco di questi gesti di solidarietà da compiere e rendere pubblici per poter rientrare in possesso dei dati sottratti:

• Donare nuovi vestiti ai senzatetto, registrare l’azione e pubblicarla sui social media;
• portare cinque bambini meno fortunati a Dominos, Pizza Hut o KFC per una sorpresa, scattare foto e video e pubblicarli sui social media;
• fornire assistenza finanziaria a chiunque abbia bisogno di cure mediche urgenti ma non può permetterselo, in un ospedale vicino, registrare audio e condividerlo con gli operatori.

GoodWill, l’attacco ransomware che chiede buone azioni

Hacker etici, dunque. Perché una volta effettuate queste buoni azioni, il gruppo del ransomware GoodWill fornirà alla “vittima” le chiavi per la decrittazione dei file rubati. Gli esperti di CloudSEK hanno anche individuato gli step fondamentali per arrivare all’ottenimento di questa chiave (ovviamente previa verifica da parte del gruppo):

• Il gruppo ransomware richiede che le vittime registrino ogni attività e pubblichino obbligatoriamente le immagini, i video, ecc. sui propri account di social media;
• una volta completate tutte e tre le attività, le vittime dovrebbero anche scrivere una nota sui social media (Facebook o Instagram) su “Come ti sei trasformato in un essere umano gentile diventando vittima di un ransomware chiamato GoodWill”.

Come spiegato da CloudSEK, questa è la cornice all’interno della quale avvengono questi attacchi come fossero Robin Hood della rete. Non sono ancora chiari, però, i profili delle aziende vittime di queste offensive informatiche. I dati raccolti, infatti, sono ancora parziali e frammentari e non è ancora possibile capire se si tratta di episodi sporadici o di un fenomeno che cerca di dare una chiave etica – e molto più hacktivista – al macro-contenitore della cyber security.