GwisinLocker is een nieuwe ransomware-familie die zich richt op Zuid-Koreaanse industriële en farmaceutische bedrijven. In staat om zowel Windows- als Linux-systemen in gevaar te brengen, GwisinLocker is gecodeerd door een relatief onbekende dreigingsactor, genaamd Gwisin (wat geest of geest betekent in het Koreaans).
Beveiligingsonderzoekers van ReversingLabs gaven een analyse van de Linux-versie, terwijl AhnLab de Windows-versie analyseerde. Wat hebben onderzoekers tot nu toe ontdekt over GwisinLocker??
GwisinLocker Ransomware gericht op zowel Linux als Windows
In het geval van Windows-doelen, de ransomware gaat verder door een MSI-installatiebestand uit te voeren dat specifieke opdrachtregelargumenten nodig heeft om de ingesloten DLL te laden. De DLL is in feite de ransomware-encryptorcomponent. Opdrachtregelargumenten worden hoogstwaarschijnlijk gebruikt omdat ze analyse moeilijker maken voor cyberbeveiligingsonderzoekers.
Bij het targeten van Linux, de ransomware richt zich voornamelijk op VMware ESXi virtuele machines met behulp van twee opdrachtregelargumenten die bepalen hoe de dreiging VM's versleutelt. Het gemeenschappelijke element in de aanvallen die GwisinLocker uitvoert, is dat de losgeldnota's op twee manieren worden aangepast: – om de beoogde bedrijfsnaam op te nemen en een unieke extensie toe te voegen aan elke infectie.
Opgemerkt moet worden dat het losgeldbriefje wordt nagesynchroniseerd !!!_HOE TE OPENEN_[Bedrijfsnaam]_FILES_!!!.tekst, is geschreven in het Engels, en bevat een waarschuwing om geen contact op te nemen met de Zuid-Koreaanse wetshandhavingsinstanties of KISA (Korea Internet en Veiligheidsagentschap).
Luna-ransomware is een ander voorbeeld van een platformonafhankelijke ransomware-bedreiging die is gecodeerd om Windows te targeten, Linux, en ESXi-systemen.
Ontdekt door Kaspersky's Darknet Threat Intelligence-monitoringsysteem, de ransomware wordt geadverteerd op een darknet ransomware-forum. Geschreven in roest en "vrij eenvoudig", het coderingsschema is nogal anders met het gebruik van x25519 en AES, een combinatie die je niet vaak tegenkomt in ransomware-campagnes.
"Zowel de Linux- als ESXi-samples zijn gecompileerd met dezelfde broncode met enkele kleine wijzigingen ten opzichte van de Windows-versie. Bijvoorbeeld, als de Linux-samples worden uitgevoerd zonder opdrachtregelargumenten, ze zullen niet rennen. Plaats, ze zullen beschikbare argumenten weergeven die kunnen worden gebruikt," zei Kaspersky:.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: