Indische Hacker

Neue Ransomware-Bande zwingt Opfer, Gutes zu tun

Daten verschlüsselnde Ransomware ist eine der größten IT-Bedrohungen unserer Zeit: Wer seine Dokumente zurück und sein infiziertes System wieder nutzen will, wird zur Kasse gebeten. In Indien ist nun eine kuriose neue Ransomware-Gruppe aufgetaucht, der es offenbar nicht um Reichtum geht: „Goodwill“ verlangt drei per Video dokumentierte gute Taten, bevor die verschlüsselten Daten wieder freigegeben werden.

Auf den ersten Blick handelt es sich bei der vom IT-Security-Unternehmen CloudSEK entdeckten Schadsoftware der Erpressergruppe „Goodwill“ um einen Ransomware-Trojaner nach dem üblichen Muster: Befällt er ein System, werden sämtliche Daten verschlüsselt. Dem Opfer wird am Display anschließend eine Erpressungsbotschaft präsentiert.

Statt Geld zählen gute Taten
Dort wo andere Ransomware-Gruppen - viele werden in Russland vermutet, siehe Video - Bitcoins fordern, weicht „Goodwill“ vom gängigen Schema ab. Um den Schlüssel zu den Daten zu erhalten, muss man drei gute Taten voll- und einen Videobeweis erbringen. Konkret wird gefordert, dass:

• Gewand für Obdachlose gespendet wird.
• fünf Kindern aus armen Verhältnissen Essen spendiert wird.
• in einem Spital Geld zur Behandlung armer Patienten gespendet wird.

Der Videobeweis muss laut einem Bericht von „Business Insider“ als Social-Media-Posting erbracht werden. Außerdem müssen die Opfer eine Botschaft posten: „Wie ich mich in einen gütigen Menschen verwandelt habe, indem ich Opfer einer Ransomware namens Goodwill wurde.“

Nach drei guten Taten gibt es den Schlüssel
Wurden alle Bedingungen erfüllt, nehmen die Schöpfer der Ransomware Kontakt zu ihrem Opfer auf. Sie übermitteln eine Videoanleitung sowie die nötigen Schlüssel, um die Daten wiederherzustellen.

Die Urheber der Ransomware dürften in Indien leben: Die CloudSEK-Forscher haben die in der Erpresserbotschaft genannte E-Mail-Adresse ins Netzwerk eines indischen IT-Dienstleisters zurückverfolgt.