可用

GwisinLocker:专门针对韩国的勒索软件

  • 浏览次数 11809
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司,其名称来自作者“Gwisin”(韩语中的幽灵)的名字。

勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。

据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。

Windows系统上的攻击链利用MSI安装程序,需要一个特殊值作为参数来运行MSI中包含的DLL文件。

“它类似于Magniber,因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同,Gwisin本身不执行恶意行为,它需要为执行参数提供特殊值,该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动,因此很难检测到Gwisin,勒索软件的内部DLL通过注入正常的Windows进程来运行,对于每个受攻击的公司来说,这个过程都是不同的。”

GwisinLocker勒索软件能够在安全模式下运行,它首先将自身复制到ProgramData的某个路径,然后在强制系统重新启动之前注册为服务。

微信截图_20220808100258

Reversinglabs的研究人员分析了勒索软件的Linux版本,他们指出这是一种复杂的恶意软件,具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合,为每个文件生成唯一密钥。

Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客取得联系。

“对更大规模的GwisinLocker活动的分析和公开报道表明,勒索软件掌握在复杂的黑客手中,他们在部署勒索软件之前获得了对目标环境的访问和控制权,这包括识别和窃取敏感数据,用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明,他们熟悉韩语以及韩国政府和执法部门。因此人们猜测,Gwisin可能是一个与朝鲜有关的高级持续威胁(APT)组织。”

 

消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文