Il nuovo ransomware GwisinLocker crittografa i server ESXi Windows e Linux

Vai ai contenuti

Il nuovo ransomware GwisinLocker crittografa i server ESXi Windows e Linux

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Il nuovo ransomware GwisinLocker crittografa i server ESXi Windows e Linux

Una nuova famiglia di ransomware chiamata "GwisinLocker" prende di mira le aziende sanitarie, industriali e farmaceutiche sudcoreane con crittografia Windows e Linux, incluso il supporto per la crittografia di server VMware ESXi e macchine virtuali.

Il nuovo malware è il prodotto di un attore di minacce meno noto soprannominato Gwisin, che in coreano significa "fantasma". L'attore è di origine sconosciuta ma sembra avere una buona conoscenza della lingua coreana.

Inoltre, gli attacchi hanno coinciso con i giorni festivi coreani e si sono verificati durante le prime ore del mattino, quindi Gwisin ha una buona conoscenza della cultura e delle routine commerciali del paese.

I rapporti su Gwisin e le sue attività sono apparsi per la prima volta sui media sudcoreani alla fine del mese scorso, quando l'attore della minaccia ha compromesso le grandi aziende farmaceutiche del paese.

Mercoledì, gli esperti coreani di sicurezza informatica di Ahnlab hanno pubblicato un rapporto sul crittografo di Windows e ieri i ricercatori di sicurezza di ReversingLabs hanno pubblicato la loro analisi tecnica della versione Linux.

Quando GwisinLocker crittografa i dispositivi Windows, l'infezione inizia con l'esecuzione di un file di installazione MSI, che richiede speciali argomenti della riga di comando per caricare correttamente la DLL incorporata che funge da crittografa del ransomware.

La richiesta di argomenti della riga di comando rende più difficile per i ricercatori di sicurezza analizzare il ransomware.

Quando vengono forniti gli argomenti della riga di comando appropriati, l'MSI decrittograferà e inietterà la sua DLL interna (ransomware) in un processo di Windows per eludere il rilevamento AV, che è diverso per ciascuna azienda.

La configurazione a volte include un argomento che imposta il ransomware per funzionare in modalità provvisoria. In questi casi, si copia in una sottocartella ProgramData, si registra come servizio e quindi forza un riavvio in modalità provvisoria.

Per la versione Linux analizzata da ReversingLabs, il codificatore si concentra fortemente sulla crittografia delle macchine virtuali VMware ESXi, inclusi due argomenti della riga di comando che controllano il modo in cui il codificatore Linux crittograferà le macchine virtuali.

Gli argomenti della riga di comando per il crittografo GwisinLocker Linxu sono elencati di seguito:

Utilizzo: utilizzo
-h, --help mostra questo messaggio di aiuto ed esce
Opzioni
-p, --vp= Elenco separato da virgole di percorsi da crittografare
-m, --vm= Uccide i processi VM se 1; Arresta servizi e processi se 2
-s, --vs= Secondi di sospensione prima dell'esecuzione
-z, --sf= Salta la crittografia dei file relativi a ESXi (quelli esclusi dalla configurazione)
-d, --sd= Cancellazione automatica dopo il completamento
-y, --pd= Scrive il testo specificato in un file con lo stesso nome
-t, --tb= Entra nel ciclo se l'ora Unix è

Questi argomenti includono il flag --vm, che eseguirà i seguenti comandi per enumerare le macchine virtuali ESXi e spegnerle.

esxcli --formatter=csv --format-param=fields=="DisplayName, WorldID" elenco dei processi vm

esxcli vm process kill --type=force --world-id="[ESXi] Chiusura - %s"

Per evitare di rendere inutilizzabile il server Linux, GwisinLocker escluderà dalla crittografia le seguenti directory.

A meno che non venga utilizzato l'argomento della riga di comando --sf, il ransomware Linux escluderà anche file specifici relativi a VMware ESXi (state.tgz, useropts.gz, jumpstrt.gz, ecc.) per evitare che il server diventi non avviabile.

Infine, il ransomware termina diversi demoni Linux prima di avviare la crittografia per rendere i loro dati disponibili per il processo di blocco.

Durante la crittografia dei file, il dispositivo di crittografia utilizza la crittografia a chiave simmetrica AES con hash SHA256.
Personalizzato per ogni vittima

Indipendentemente dal sistema operativo preso di mira nell'attacco, tutti i crittografi sono personalizzati per includere il nome dell'azienda nella richiesta di riscatto e per utilizzare un'estensione univoca per i nomi dei file crittografati.

Per una vittima conosciuta da BleepingComputer, gli attori delle minacce hanno personalizzato pesantemente la richiesta di riscatto per includere i dati specifici che sono stati rubati durante l'attacco, che abbiamo oscurato nella nota di seguito.

Le richieste di riscatto si chiamano '!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT' e sono scritte in inglese, con alcune avvertenze alla vittima di non contattare le forze dell'ordine sudcoreane o KISA (Korea Internet and Security Agency).

Invece, alle vittime viene detto di visitare un indirizzo onion utilizzando il browser Tor, accedere con le credenziali fornite e seguire le istruzioni sul pagamento di un riscatto e sul ripristino dei file.

Mentre AhnLab e ReversingLabs hanno notato che GwisinLocker prende di mira principalmente le aziende industriali e farmaceutiche sudcoreane, BleepingComputer è a conoscenza di una clinica sanitaria che è stata anche presa di mira.





3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti