GwisinLocker est une nouvelle famille de rançongiciels ciblant les entreprises industrielles et pharmaceutiques sud-coréennes. Capable de compromettre les systèmes Windows et Linux, GwisinLocker a été codé par un acteur menaçant relativement inconnu, appelé Gwisin (signifiant fantôme ou esprit en coréen).
Les chercheurs en sécurité de ReversingLabs ont fourni une analyse de la version Linux, alors qu'AhnLab a analysé la version Windows. Qu'est-ce que les chercheurs ont découvert jusqu'à présent sur GwisinLocker?
GwisinLocker Ransomware ciblant à la fois Linux et Windows
En cas de cibles Windows, le ransomware procède en exécutant un fichier d'installation MSI qui nécessite des arguments de ligne de commande spécifiques pour charger la DLL intégrée. La DLL est en fait le composant de cryptage du ransomware. Les arguments de ligne de commande sont très probablement déployés car ils rendent l'analyse plus difficile pour les chercheurs en cybersécurité.
Lorsque vous ciblez Linux, le rançongiciel cible principalement les machines virtuelles VMware ESXi à l'aide de deux arguments de ligne de commande contrôlant la façon dont la menace chiffre les machines virtuelles. L'élément commun des attaques menées par GwisinLocker est que les notes de rançon sont personnalisées de deux manières – pour inclure le nom de l'entreprise ciblée et ajouter une extension unique dans chaque infection.
Il convient de noter que la note de rançon est doublée !!!_COMMENT DÉVERROUILLER_[Nom de l'entreprise]_DES DOSSIERS_!!!.SMS, est écrit en anglais, et contient un avertissement de ne pas contacter les forces de l'ordre sud-coréennes ou KISA (Agence coréenne de l'Internet et de la sécurité).
Rançongiciel Luna est un autre exemple de menace de ransomware multiplateforme codée pour cibler Windows, Linux, et systèmes ESXi.
Découvert par le système de surveillance Darknet Threat Intelligence de Kaspersky, le ransomware est annoncé sur un forum de ransomware darknet. Écrit en Rust et "assez simple", son schéma de chiffrement est assez différent impliquant l'utilisation de x25519 et AES, une combinaison rarement rencontrée dans les campagnes de ransomware.
"Les exemples Linux et ESXi sont compilés à l'aide du même code source avec quelques modifications mineures par rapport à la version Windows. Par exemple, si les exemples Linux sont exécutés sans arguments de ligne de commande, ils ne courront pas. Plutôt, ils afficheront les arguments disponibles qui peuvent être utilisés," a déclaré Kaspersky.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: