GwisinLocker es una nueva familia de ransomware dirigida a empresas industriales y farmacéuticas de Corea del Sur.. Capaz de comprometer los sistemas Windows y Linux, GwisinLocker ha sido codificado por un actor de amenazas relativamente desconocido, llamado gwisin (que significa fantasma o espíritu en coreano).
Los investigadores de seguridad de ReversingLabs proporcionaron un análisis de la versión de Linux, mientras que AhnLab analizó la versión de Windows. ¿Qué han descubierto los investigadores sobre GwisinLocker hasta ahora??
GwisinLocker ransomware dirigido tanto a Linux como a Windows
En el caso de objetivos de Windows, el ransomware procede mediante la ejecución de un archivo de instalación MSI que necesita argumentos de línea de comandos específicos para cargar la DLL incrustada. La DLL es, de hecho, el componente de encriptación del ransomware. Lo más probable es que los argumentos de la línea de comandos se implementen porque dificultan el análisis para los investigadores de ciberseguridad..
Al apuntar a Linux, el ransomware se dirige principalmente a las máquinas virtuales VMware ESXi utilizando dos argumentos de línea de comandos que controlan la forma en que la amenaza cifra las máquinas virtuales. El elemento común en los ataques que realiza GwisinLocker es que las notas de rescate se personalizan de dos maneras – para incluir el nombre de la empresa objetivo y agregar una extensión única en cada infección.
Cabe señalar que la nota de rescate se denomina !!!_COMO DESBLOQUEAR_[nombre de empresa]_ARCHIVOS_!!!.TXT, esta escrito en ingles, y contiene una advertencia de no ponerse en contacto con las agencias de aplicación de la ley de Corea del Sur o KISA (Agencia de Seguridad e Internet de Corea).
ransomware luna es otro ejemplo de una amenaza de ransomware multiplataforma codificada para apuntar a Windows, Linux, y sistemas ESXi.
Descubierto por el sistema de monitoreo Darknet Threat Intelligence de Kaspersky, el ransomware se anuncia en un foro de ransomware darknet. Escrito en Rust y "bastante simple", su esquema de encriptación es bastante diferente e involucra el uso de x25519 y AES, una combinación que no se encuentra a menudo en las campañas de ransomware.
“Tanto las muestras de Linux como las de ESXi se compilan utilizando el mismo código fuente con algunos cambios menores con respecto a la versión de Windows.. Por ejemplo, si las muestras de Linux se ejecutan sin argumentos de línea de comandos, ellos no correrán. En lugar, mostrarán los argumentos disponibles que se pueden usar,Kaspersky dijo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: