Especialistas descobriram uma nova família de ransomware, que visa especificamente sistemas baseados em Linux usando uma variedade de métodos de criptografia. GwisinLocker é o malware responsável pelo ataque.
O ransomware GwisinLocker é um dos tipos mais recentes de ransomware direcionado a empresas sul-coreanas em indústrias e farmacêuticas.
Além de ser uma variante de malware totalmente nova, é notável pelo fato de ter sido produzida por um agente de ameaças que era pouco conhecido anteriormente.
No final do mês passado, em julho, quando o agente da ameaça comprometeu grandes empresas farmacêuticas na Coreia do Sul, informações sobre Gwisin e suas atividades começaram a aparecer nos meios de comunicação sul-coreanos.
Durante o processo de criptografia, o GwisinLocker criptografa o dispositivo com o uso de um arquivo MSI que é executado quando a infecção começa.
A DLL incorporada que atua como o criptografador de ransomware precisa de certos argumentos de linha de comando que precisam ser adicionados à linha de comando para carregá-la corretamente.
Também é possível configurar o ransomware para ser executado em modo de segurança especificando explicitamente um argumento de modo de segurança no arquivo de configuração.
As máquinas virtuais ESXi são o foco principal do criptografador, que inclui dois argumentos de linha de comando que permitem que o criptografador criptografe essas máquinas virtuais.
Ao usar esse parâmetro, a ferramenta de criptografia de máquina virtual do Linux pode controlar a maneira como as máquinas virtuais são criptografadas.
Mensagem de resgate
Cada criptografador é personalizado para cada SO alvo do ataque, independentemente de quais são alvos do ataque. Como resultado de sua personalização, eles atendem aos seguintes requisitos:-
Na nota de resgate, o nome da empresa está incluído.
Os nomes dos arquivos criptografados são sempre precedidos por uma extensão exclusiva.
Como parte da nota de resgate, você encontrará os seguintes tipos de nomes: -
'!!!_HOW_TO_UNLOCK_[nome_da_empresa]_FILES_!!!.TXT'
As notas de resgate alertam claramente que as agências policiais sul-coreanas e a KISA não devem ser contatadas pelas vítimas, e as notas de resgate foram escritas em inglês.
Para restaurar os arquivos , as vítimas foram instruídas a usar o navegador Tor para acessar um endereço onion fornecido pelos operadores, fazer login e pagar o resgate.
Sobre a Brasiline
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
FortiSRA: Acesso Remoto Seguro para Sistemas OT
Brasil vê ciberataques crescerem 38% no primeiro trimestre
