So ein Erpressungstrojaner ist üblicherweise eine unangenehme Angelegenheit. Diese Erfahrung musste dieser Tage etwa das Land Kärnten machen, das infolge eines solchen Angriffs nach wie vor mit massiven IT-Problemen kämpft. Die Schadsoftware hat zahlreiche Dateien verschlüsselt und so auch viele Systeme lahmgelegt. Allerdings sollen Backups vorhanden sein, weswegen man auch kein Geld an die Hinterleute zahlen will.

Eine einfachere Lösung hätte sich wohl angeboten, wären die Rechner mit der Ransomware "Goodwill" infiziert worden. Diese Malware der etwas anderen Art wurde kürzlich von Sicherheitsexperten der Firma CloudSEK entdeckt. Auch sie verschlüsselt potenziell wichtige Dateien am System, verlangt vom Opfer aber keine Überweisung in Krypto- oder Fiatgeld zur Entsperrung – sondern gute Taten.

"Hunger nach Güte"

"Das Team GoodWill hat keinen Hunger nach Geld und Reichtum, sondern nach Güte", heißt es in der Botschaft, die die Erpressungssoftware den Nutzern befallener Rechner anzeigt. "Wir möchten, dass jede Person auf dem Planeten nett ist und wollen ihnen auf die harte Tour beibringen, dass man Menschen in Not immer helfen sollte." Daher müssten die Betroffenen mehrere Akte der Gutmütigkeit dokumentieren, um wieder Zugriff auf ihre Dateien zu bekommen.

Die Schadsoftware scheint sich besonders an US-Nutzer zu richten. Die erste Aufgabe ist es, Kleidung und Decken an Obdachlose zu spenden, die im Freien übernachten. Die zweite Vorgabe besteht darin, fünf arme Kinder, die nicht älter als 12 sind, bei Dominos, Pizza Hut oder KFC zum Essen einzuladen. Und schließlich solle man auch in ein Krankenhaus in der Umgebung fahren und dort jemanden finden, der Probleme damit habe, die Rechnung für eine dringend notwendige medizinische Behandlung zu begleichen. Diese Person solle man finanziell unterstützen.

All dies solle man mit Social Media-Postings dokumentieren und die Links zu diesen anschließend an die Cyberkriminellen schicken. Dafür stellen die "GoodWill"-Macher sogar einen eigenen virtuellen Bilderrahmen zur Verfügung. Könne man glaubhaft machen, die guten Taten vollbracht zu haben, so versprechen diese die Bereitstellung einer Software nebst Videoanleitung, mit der man die verschlüsselten Dateien wiederherstellen kann.

"GoodWill" dürfte aus Indien stammen

Wenngleich sich hier eine Ransomware-Gang ausnahmsweise nicht selbst zu bereichern scheint, ist das Prinzip von GoodWill dennoch ein strafbarer Cyberangriff. Zudem besteht natürlich die Gefahr, dass eine solche Attacke jemanden trifft, der selbst in existenziellen Nöten steckt und finanziell gar nicht in der Lage ist, die geforderten guten Taten zu vollbringen.

CloudSEK hat die Malware unter die Lupe genommen. Die von den Erpressern angegebene E-Mail-Adresse lässt sich zu einer Firma für IT-Sicherheitslösungen in Indien nachverfolgen. Dazu deuten auf Hindi verfasste Fehlermeldungen im Code darauf hin, dass "GoodWill" von Indern entwickelt wurde. Die Online-Verwaltung der Ransomware soll zudem auf einem Server laufen, dessen IP-Adresse sich in Mumbai lokalisieren ließ. Es gibt zudem Überschneidungen, die es wahrscheinlich erscheinen lassen, dass die Malware auf der Opensource-Ransomware "Hiddentear" basiert. (gpi, 29.5.22)