Todos se denominan ‘ataques’, pero tienen distintas modalidades. Y, sobre todo, diferentes efectos. En el caso del ransomware llamado GoodWill, de cuyo nombre (se traduce como ‘buena voluntad’) ya podemos deducir las diferencias frente a virus similares, los efectos no pueden definirse del todo negativos. El modus operandi, sin embargo, es el mismo.
El descubrimiento de GoodWill es obra del Threat Intelligence Research de CloudSEK, que detectó su llegada en marzo de 2022. También en este caso se aprovechan las vulnerabilidades de los sistemas informáticos de empresas públicas y privadas para robar y eliminar datos confidenciales de los servidores. Y, como con todo ransomware, los ciberdelincuentes establecen una negociación en la que piden un rescate para devolver los datos secuestrados.
El ransomware es un tipo de virus informático diseñado para cifrar archivos en un dispositivo, haciéndolos inutilizables e inaccesibles. Hasta que se pague un rescate. En el caso de GoodWill, sin embargo, no estamos hablando de dinero, sino de obras de caridad. Las ‘víctimas’ deben llevar a cabos actos de solidaridad hacia los más necesitados.
Y hay incluso una lista de estos ejercicios que, además, deben hacerse públicos para recuperar la posesión de los datos sustraídos. Después de infectar el dispositivo de destino, el ransomware muestra una pantalla en la que indica con precisión lo que se debe hacer para recuperar los archivos. En total, se trata de superar tres pruebas.
Las tres pruebas de GoodWill
- La víctima tiene que donar mantas y ropa a personas que duermen en la calle. Y luego hacer un vídeo y subirlo a Facebook, Instagram o WhatsApp para animar a sus contactos a realizar acciones similares. Para acceder al siguiente paso, se debe enviar una captura de pantalla y un enlace válido que acredite el cumplimiento de lo pedido.
- Se tiene que ofrecer comida a, por lo menos, cinco niños necesitados, dejando que pidan lo que quieran. GoodWill reclama a los chantajeados que traten a estos niños “como si fueran sus hermanos menores». Para continuar, se deben aportar vídeos, capturas de pantalla e historias, junto con una foto de la factura del restaurante.
- Los afectados deben ir a un hospital y hacer una donación a las personas que lo necesitan para cubrir sus facturas médicas. Después, ofrecerán su dinero para pagar el tratamiento y grabar la conversación en formato de audio para enviársela a los hackers.
El último paso para recuperar los datos es escribir un artículo en una red social contando la experiencia como víctima de un ciberataque por parte de GoodWill. El grupo declara que su objetivo es convertir a las personas en sujetos amables, compasivos y atentos a las necesidades de los demás. El título de la publicación, que se difundirá también en las redes sociales (Facebook o Instagram) debe ser: «¿Cómo te convertiste en un ser humano amable tras ser víctima de un ransomware llamado GoodWill?».
Solo entonces será posible descargar el kit para descifrar la información robada por los piratas informáticos. Los expertos de CloudSEK han identificado también los pasos fundamentales para obtener esta clave. Siempre tras la verificación por parte del grupo detrás del ransomware. Una especie de hackers éticos, podría decirse.
Unos hackers éticos
Tal y como explica CloudSEK, estos ataques se producen bajo una lógica parecida a la de unos ‘Robin Hood’ de la red. Sin embargo, los perfiles de las empresas víctimas de estas ciberofensivas aún no están claros como para decir que solo ‘roban a los ricos’. Los datos recopilados son parciales y fragmentarios. Y sin víctimas ni objetivos conocidos, sus tácticas, técnicas y procedimientos siguen siendo desconocidos.
Tampoco es posible entender si se trata de episodios esporádicos o de un fenómeno que busca dar una clave ética al macrocontenedor de la ciberseguridad. Este sería un enfoque mucho más ‘hacktivista’. Es decir, en línea con el compromiso social y político de los orígenes del movimiento hacker. El mismo que algunos grupos, como Anonymous, intentan mantener.
De todas formas, los investigadores pudieron rastrear la dirección de correo electrónico proporcionada por el grupo de GoodWill. Pertenece a una empresa india de servicios y soluciones de seguridad informática. También encontraron que hay alrededor de 1246 cadenas de caracteres en este ransomware, 91 de las cuales coinciden con otro llamado HiddenTear.
Este último es un malware de código abierto desarrollado por un programador turco, cuya proof of concept (o PoC, la demostración de la existencia de una vulnerabilidad) se publicó en GitHub. Este detalle sugeriría que los operadores detrás de GoodWill podrían haber obtenido acceso a este modelo para luego crear el nuevo ransomware con las modificaciones necesarias.
La declaración de intenciones del grupo, como reporta CloudSEK, no deja lugar a dudas. “El equipo de GoodWill no está hambriento de dinero y riqueza, sino de amabilidad. Queremos asegurarnos de que todas las personas del planeta sean amables y queremos darles una dura lección: ayudar siempre a los pobres y a los necesitados”. Podría haber sido peor.
Por Alberto Barbieri
Imágenes | Steve Harvey/Unsplash, Markus Spiske/Unsplash, Claudia Raya/Unsplash