GwisinLocker ist eine neue Ransomware-Familie, die auf südkoreanische Industrie- und Pharmaunternehmen abzielt. Kann sowohl Windows- als auch Linux-Systeme kompromittieren, GwisinLocker wurde von einem relativ unbekannten Bedrohungsakteur codiert, Gwisin genannt (Bedeutung Geist oder Geist auf Koreanisch).
Sicherheitsforscher von ReversingLabs haben eine Analyse der Linux-Version vorgelegt, während AhnLab die Windows-Version analysierte. Was Forscher bisher über GwisinLocker herausgefunden haben?
GwisinLocker Ransomware, die sowohl auf Linux als auch auf Windows abzielt
Im Falle von Windows-Zielen, Die Ransomware fährt fort, indem sie eine MSI-Installationsdatei ausführt, die bestimmte Befehlszeilenargumente benötigt, um die eingebettete DLL zu laden. Die DLL ist eigentlich die Ransomware-Verschlüsselungskomponente. Befehlszeilenargumente werden höchstwahrscheinlich eingesetzt, weil sie die Analyse für Cybersicherheitsforscher erschweren.
Bei der Ausrichtung auf Linux, Die Ransomware zielt hauptsächlich auf virtuelle VMware ESXi-Maschinen ab, indem sie zwei Befehlszeilenargumente verwendet, die steuern, wie die Bedrohung VMs verschlüsselt. Das gemeinsame Element der von GwisinLocker durchgeführten Angriffe ist, dass die Lösegeldscheine auf zwei Arten angepasst werden – um den Namen des Zielunternehmens aufzunehmen und jeder Infektion eine eindeutige Erweiterung hinzuzufügen.
Es sollte beachtet werden, dass die Lösegeldforderung synchronisiert ist !!!_WIE ZU ÖFFNEN_[Name der Firma]_DATEIEN_!!!.TXT, ist in Englisch geschrieben, und enthält eine Warnung, sich nicht an die südkoreanischen Strafverfolgungsbehörden oder KISA zu wenden (Korea Internet and Security Agency).
Luna-Ransomware ist ein weiteres Beispiel für eine plattformübergreifende Ransomware-Bedrohung, die auf Windows abzielt, Linux, und ESXi-Systemen.
Entdeckt vom Überwachungssystem Darknet Threat Intelligence von Kaspersky, Die Ransomware wird in einem Darknet-Ransomware-Forum beworben. Geschrieben in Rust und „ziemlich einfach“, Sein Verschlüsselungsschema ist ziemlich unterschiedlich und beinhaltet die Verwendung von x25519 und AES, eine Kombination, die bei Ransomware-Kampagnen nicht oft anzutreffen ist.
„Sowohl die Linux- als auch die ESXi-Beispiele werden mit demselben Quellcode kompiliert, mit einigen geringfügigen Änderungen gegenüber der Windows-Version. Beispielsweise, wenn die Linux-Beispiele ohne Befehlszeilenargumente ausgeführt werden, sie werden nicht laufen. Stattdessen, Sie zeigen verfügbare Argumente an, die verwendet werden können,“, sagte Kaspersky.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: