GwisinLocker er en ny ransomware-familie rettet mod sydkoreanske industri- og farmaceutiske virksomheder. I stand til at kompromittere både Windows- og Linux-systemer, GwisinLocker er blevet kodet af en relativt ukendt trusselsaktør, kaldet Gwisin (betyder spøgelse eller ånd på koreansk).
Sikkerhedsforskere fra ReversingLabs leverede en analyse af Linux-versionen, hvorimod AhnLab analyserede Windows-versionen. Hvad har forskere opdaget om GwisinLocker indtil videre?
GwisinLocker Ransomware målrettet mod både Linux og Windows
I tilfælde af Windows-mål, ransomwaren fortsætter ved at udføre en MSI-installationsfil, som har brug for specifikke kommandolinjeargumenter for at indlæse den indlejrede DLL. DLL'en er faktisk ransomware-krypteringskomponenten. Kommandolinjeargumenter bliver højst sandsynligt implementeret, fordi de gør analyse sværere for cybersikkerhedsforskere.
Når du målretter mod Linux, ransomwaren retter sig primært mod virtuelle VMware ESXi-maskiner ved hjælp af to kommandolinjeargumenter, der kontrollerer den måde, truslen krypterer VM'er på. Det fælles element i de angreb, GwisinLocker udfører, er, at løsesumsedlerne tilpasses på to måder – at inkludere det målrettede firmanavn og tilføje en unik udvidelse i hver infektion.
Det skal bemærkes, at løsesumsedlen er døbt !!!_HOW_TO_UNLOCK_[firmanavn]_FILES_!!!.TXT, er skrevet på engelsk, og indeholder en advarsel om ikke at kontakte de sydkoreanske retshåndhævende myndigheder eller KISA (Koreas internet- og sikkerhedsagentur).
Luna ransomware er et andet eksempel på en ransomware-trussel på tværs af platforme, der er kodet til at målrette mod Windows, Linux, og ESXi-systemer.
Opdaget af Kasperskys Darknet Threat Intelligence-overvågningssystem, ransomwaren annonceres på et darknet ransomware-forum. Skrevet i Rust og "temmelig enkelt", dens krypteringsskema er ret anderledes, hvilket involverer brugen af x25519 og AES, en kombination, man ikke ofte støder på i ransomware-kampagner.
"Både Linux- og ESXi-eksemplerne er kompileret ved hjælp af den samme kildekode med nogle mindre ændringer fra Windows-versionen. For eksempel, hvis Linux-eksemplerne udføres uden kommandolinjeargumenter, de vil ikke løbe. I stedet, de vil vise tilgængelige argumenter, der kan bruges," sagde Kaspersky.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: