GwisinLocker is een nieuwe ransomware-familie die zich richt op Zuid-Koreaanse industriële en farmaceutische bedrijven. In staat om zowel Windows- als Linux-systemen in gevaar te brengen, GwisinLocker is gecodeerd door een relatief onbekende dreigingsactor, genaamd Gwisin (wat geest of geest betekent in het Koreaans).
Beveiligingsonderzoekers van ReversingLabs gaven een analyse van de Linux-versie, terwijl AhnLab de Windows-versie analyseerde. Wat hebben onderzoekers tot nu toe ontdekt over GwisinLocker??
GwisinLocker Ransomware gericht op zowel Linux als Windows
In het geval van Windows-doelen, de ransomware gaat verder door een MSI-installatiebestand uit te voeren dat specifieke opdrachtregelargumenten nodig heeft om de ingesloten DLL te laden. De DLL is in feite de ransomware-encryptorcomponent. Opdrachtregelargumenten worden hoogstwaarschijnlijk gebruikt omdat ze analyse moeilijker maken voor cyberbeveiligingsonderzoekers.
Bij het targeten van Linux, de ransomware richt zich voornamelijk op VMware ESXi virtuele machines met behulp van twee opdrachtregelargumenten die bepalen hoe de dreiging VM's versleutelt. Het gemeenschappelijke element in de aanvallen die GwisinLocker uitvoert, is dat de losgeldnota's op twee manieren worden aangepast: – om de beoogde bedrijfsnaam op te nemen en een unieke extensie toe te voegen aan elke infectie.
Opgemerkt moet worden dat het losgeldbriefje wordt nagesynchroniseerd !!!_HOE TE OPENEN_[Bedrijfsnaam]_FILES_!!!.tekst, is geschreven in het Engels, en bevat een waarschuwing om geen contact op te nemen met de Zuid-Koreaanse wetshandhavingsinstanties of KISA (Korea Internet en Veiligheidsagentschap).
Luna-ransomware is een ander voorbeeld van een platformonafhankelijke ransomware-bedreiging die is gecodeerd om Windows te targeten, Linux, en ESXi-systemen.
Ontdekt door Kaspersky's Darknet Threat Intelligence-monitoringsysteem, de ransomware wordt geadverteerd op een darknet ransomware-forum. Geschreven in roest en "vrij eenvoudig", het coderingsschema is nogal anders met het gebruik van x25519 en AES, een combinatie die je niet vaak tegenkomt in ransomware-campagnes.
"Zowel de Linux- als ESXi-samples zijn gecompileerd met dezelfde broncode met enkele kleine wijzigingen ten opzichte van de Windows-versie. Bijvoorbeeld, als de Linux-samples worden uitgevoerd zonder opdrachtregelargumenten, ze zullen niet rennen. Plaats, ze zullen beschikbare argumenten weergeven die kunnen worden gebruikt," zei Kaspersky:.