GwisinLocker er en ny ransomware-familie rettet mod sydkoreanske industri- og farmaceutiske virksomheder. I stand til at kompromittere både Windows- og Linux-systemer, GwisinLocker er blevet kodet af en relativt ukendt trusselsaktør, kaldet Gwisin (betyder spøgelse eller ånd på koreansk).
Sikkerhedsforskere fra ReversingLabs leverede en analyse af Linux-versionen, hvorimod AhnLab analyserede Windows-versionen. Hvad har forskere opdaget om GwisinLocker indtil videre?
GwisinLocker Ransomware målrettet mod både Linux og Windows
I tilfælde af Windows-mål, ransomwaren fortsætter ved at udføre en MSI-installationsfil, som har brug for specifikke kommandolinjeargumenter for at indlæse den indlejrede DLL. DLL'en er faktisk ransomware-krypteringskomponenten. Kommandolinjeargumenter bliver højst sandsynligt implementeret, fordi de gør analyse sværere for cybersikkerhedsforskere.
Når du målretter mod Linux, ransomwaren retter sig primært mod virtuelle VMware ESXi-maskiner ved hjælp af to kommandolinjeargumenter, der kontrollerer den måde, truslen krypterer VM'er på. Det fælles element i de angreb, GwisinLocker udfører, er, at løsesumsedlerne tilpasses på to måder – at inkludere det målrettede firmanavn og tilføje en unik udvidelse i hver infektion.
Det skal bemærkes, at løsesumsedlen er døbt !!!_HOW_TO_UNLOCK_[firmanavn]_FILES_!!!.TXT, er skrevet på engelsk, og indeholder en advarsel om ikke at kontakte de sydkoreanske retshåndhævende myndigheder eller KISA (Koreas internet- og sikkerhedsagentur).
Luna ransomware er et andet eksempel på en ransomware-trussel på tværs af platforme, der er kodet til at målrette mod Windows, Linux, og ESXi-systemer.
Opdaget af Kasperskys Darknet Threat Intelligence-overvågningssystem, ransomwaren annonceres på et darknet ransomware-forum. Skrevet i Rust og "temmelig enkelt", dens krypteringsskema er ret anderledes, hvilket involverer brugen af x25519 og AES, en kombination, man ikke ofte støder på i ransomware-kampagner.
"Både Linux- og ESXi-eksemplerne er kompileret ved hjælp af den samme kildekode med nogle mindre ændringer fra Windows-versionen. For eksempel, hvis Linux-eksemplerne udføres uden kommandolinjeargumenter, de vil ikke løbe. I stedet, de vil vise tilgængelige argumenter, der kan bruges," sagde Kaspersky.