GwisinLocker è una nuova famiglia di ransomware destinata alle aziende farmaceutiche e industriali sudcoreane. Capace di compromettere sia i sistemi Windows che Linux, GwisinLocker è stato codificato da un attore di minacce relativamente sconosciuto, chiamato Gwisin (che significa fantasma o spirito in coreano).
I ricercatori di sicurezza di ReversingLabs hanno fornito un'analisi della versione Linux, mentre AhnLab ha analizzato la versione di Windows. Cosa hanno scoperto finora i ricercatori su GwisinLocker?
GwisinLocker Ransomware mirato sia a Linux che a Windows
In caso di target Windows, il ransomware procede eseguendo un file di installazione MSI che necessita di argomenti della riga di comando specifici per caricare la DLL incorporata. La DLL è in effetti il componente di crittografia del ransomware. Gli argomenti della riga di comando sono molto probabilmente implementati perché rendono l'analisi più difficile per i ricercatori di sicurezza informatica.
Quando si prende di mira Linux, il ransomware prende di mira principalmente le macchine virtuali VMware ESXi utilizzando due argomenti della riga di comando che controllano il modo in cui la minaccia crittografa le macchine virtuali. L'elemento comune negli attacchi effettuati da GwisinLocker è che le richieste di riscatto sono personalizzate in due modi – per includere il nome dell'azienda di destinazione e per aggiungere un'estensione univoca a ciascuna infezione.
Va notato che la richiesta di riscatto è doppiata !!!_COME SBLOCCARE_[Nome della ditta]_FILE_!!!.testo, è scritto in inglese, e contiene un avvertimento a non contattare le forze dell'ordine sudcoreane o KISA (Agenzia per la sicurezza e la sicurezza in Corea).
Luna ransomware è un altro esempio di minaccia ransomware multipiattaforma codificata per prendere di mira Windows, Linux, e sistemi ESXi.
Scoperta dal sistema di monitoraggio Darknet Threat Intelligence di Kaspersky, il ransomware è pubblicizzato su un forum di ransomware darknet. Scritto in Rust e "abbastanza semplice", il suo schema di crittografia è piuttosto diverso e prevede l'uso di x25519 e AES, una combinazione che non si incontra spesso nelle campagne ransomware.
“Sia gli esempi Linux che ESXi sono compilati utilizzando lo stesso codice sorgente con alcune modifiche minori rispetto alla versione Windows. Per esempio, se gli esempi di Linux vengono eseguiti senza argomenti della riga di comando, non correranno. Invece, mostreranno gli argomenti disponibili che possono essere utilizzati,” ha detto Kaspersky.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: