GwisinLocker é uma nova família de ransomware voltada para empresas industriais e farmacêuticas sul-coreanas. Capaz de comprometer os sistemas Windows e Linux, GwisinLocker foi codificado por um agente de ameaças relativamente desconhecido, chamado Gwisin (significando fantasma ou espírito em coreano).
Pesquisadores de segurança da ReversingLabs forneceram uma análise da versão do Linux, enquanto o AhnLab analisou a versão do Windows. O que os pesquisadores descobriram sobre o GwisinLocker até agora?
GwisinLocker Ransomware visando Linux e Windows
No caso de alvos Windows, o ransomware prossegue executando um arquivo do instalador MSI que precisa de argumentos de linha de comando específicos para carregar a DLL incorporada. A DLL é de fato o componente criptografador do ransomware. Os argumentos de linha de comando provavelmente são implantados porque dificultam a análise para pesquisadores de segurança cibernética.
Ao segmentar o Linux, o ransomware visa principalmente as máquinas virtuais VMware ESXi usando dois argumentos de linha de comando que controlam a maneira como a ameaça criptografa as VMs. O elemento comum nos ataques que GwisinLocker realiza é que as notas de resgate são personalizadas de duas maneiras – para incluir o nome da empresa alvo e anexar uma extensão exclusiva em cada infecção.
Deve-se notar que a nota de resgate é apelidada !!!_COMO DESBLOQUEAR_[Nome da empresa]_ARQUIVOS_!!!.TXT, está escrito em inglês, e contém um aviso para não entrar em contato com as agências policiais sul-coreanas ou KISA (Agência de Internet e Segurança da Coreia).
Ransomware Luna é outro exemplo de uma ameaça de ransomware multiplataforma codificada para atingir o Windows, Linux, e sistemas ESXi.
Descoberto pelo sistema de monitoramento Darknet Threat Intelligence da Kaspersky, o ransomware é anunciado em um fórum de ransomware da darknet. Escrito em Rust e “bastante simples”, seu esquema de criptografia é bastante diferente envolvendo o uso de x25519 e AES, uma combinação raramente encontrada em campanhas de ransomware.
“Tanto os exemplos do Linux quanto do ESXi são compilados usando o mesmo código-fonte com algumas pequenas alterações da versão do Windows. Por exemplo, se as amostras do Linux forem executadas sem argumentos de linha de comando, eles não vão correr. Em vez de, eles mostrarão os argumentos disponíveis que podem ser usados,", disse Kaspersky.