GwisinLocker Yeni Bir Fidye Yazılımı Windows ve Linux ESXi Sunucularını Şifreliyor

ReversingLabs'ın siber güvenlik analistleri tarafından, bir dizi şifreleme yöntemi kullanarak özellikle Linux tabanlı sistemleri hedef alan yeni bir fidye yazılımı ailesi keşfedildi. GwisinLocker, saldırıdan sorumlu kötü amaçlı yazılımdır.

GwisinLocker fidye yazılımı, sektörlerde ve ilaçlarda Güney Koreli şirketleri hedef alan en son fidye yazılımı türlerinden biridir.

Tamamen yeni bir kötü amaçlı yazılım varyantı olmasının yanı sıra, daha önce az bilinen bir tehdit aktörü tarafından üretilmesi nedeniyle de dikkat çekicidir.

Açık kaynaklı Linux işletim sistemini çalıştıran sistemleri hedeflemek için özel olarak tasarlanmıştır ve yalnızca VMware ESXi sunucularının ve VM'lerinin şifrelenmesini de desteklemez. Önemli bir ağ güvenliğinin bir sonucu olarak, fidye yazılımı dağıtıldı ve veriler tehlikeye atıldı ve sızdırıldı.

Sabahın erken saatlerinde, saldırılar Kore resmi tatillerinde gerçekleşti. Bu nedenle, Gwisin ülkedeki kültürel ve ticari uygulamalar hakkında kapsamlı bir anlayışa sahiptir.

Windows Ve Linux ESXi Sunucularını Hedefler

Geçen ayın sonlarında, tehdit aktörü Güney Kore'deki büyük ilaç şirketlerini tehlikeye attığında, Gwisin ve faaliyetleri hakkındaki bilgiler Güney Koreli medya kuruluşlarında görünmeye başladı.

Şifreleme işlemi sırasında GwisinLocker, virüs bulaşma başladığında yürütülen bir MSI dosyası kullanarak cihazı şifreler.

Fidye yazılımı şifreleyicisi gibi davranan katıştırılmış DLL, düzgün bir şekilde yüklemek için komut satırına eklenmesi gereken belirli komut satırı bağımsız değişkenlerine ihtiyaç duyar.

Güvenlik araştırmacıları, komut satırı argümanları gerektirdiğinde fidye yazılımlarını analiz etmeyi daha zor buluyor. Bir Windows işleminin şifresi çözülür ve dahili DLL buna enjekte edilir, böylece uygun komut satırı bağımsız değişkenleri sağlandığında virüsten koruma yazılımı tarafından algılanmaktan kaçınır.

Yapılandırma dosyasında açıkça bir güvenli mod bağımsız değişkeni belirterek fidye yazılımını güvenli modda çalışacak şekilde yapılandırmak da mümkündür.

ESXi sanal makineleri, şifreleyicinin bu sanal makineleri şifrelemesine izin veren iki komut satırı bağımsız değişkeni içeren şifreleyicinin ana odağıdır.

Bu parametreyi kullanarak, Linux sanal makine şifreleme aracı sanal makinelerin şifrelenme şeklini denetleyebilir.

Fidye Notu

Her şifreleyici, saldırıda hedeflenen işletim sistemi için, saldırıda hangilerinin hedeflendiğine bakılmaksızın özelleştirilir. Özelleştirmelerinin bir sonucu olarak, aşağıdaki gereksinimleri karşılarlar:

• Fidye notunda, şirketin adı yer almaktadır.
• Şifrelenmiş dosyaların adlarından önce her zaman benzersiz bir uzantı gelir.

Fidye notunun bir parçası olarak, aşağıdaki tür isimleri bulacaksınız:

• !!!_HOW_TO_UNLOCK_[Şirket_Adı]_FILES_!!!.TXT

Fidye notları, Güney Koreli kolluk kuvvetleri ve KISA'nın mağdurlar tarafından temasa geçilmemesi gerektiği konusunda açıkça uyarıyor ve fidye notları İngilizce olarak yazıldı.

Dosyaları geri yüklemek için kurbanlara, operatörler tarafından sağlanan bir soğan adresine erişmek, giriş yapmak ve fidyeyi ödemek için Tor tarayıcısını kullanmaları gerektiği talimatı verildi.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.