Para peneliti memperingatkan ransomware baru yang disebut GwisinLocker yang mampu mengenkripsi server ESXi Windows dan Linux. Ransomware menargetkan perusahaan perawatan kesehatan, industri, dan farmasi Korea Selatan, namanya berasal dari nama penulis ‘Gwisin’ (hantu dalam bahasa Korea).
Ransomware didistribusikan melalui serangan yang ditargetkan terhadap organisasi tertentu.
Para ahli juga melaporkan bahwa nama-nama entitas Korea Selatan, seperti polisi Korea, Badan Intelijen Nasional, dan KISA, tercantum dalam catatan tebusan.
Aktor ancaman Gwisin memukul perusahaan Korea pada hari libur dan dini hari menurut media lokal.
Rantai serangan pada sistem Windows memanfaatkan penginstal MSI dan memerlukan nilai khusus sebagai argumen untuk menjalankan file DLL yang disertakan dalam MSI.
“Ini mirip dengan Magniber karena beroperasi dalam bentuk penginstal MSI. Namun tidak seperti Magniber yang menargetkan individu acak, Gwisin tidak melakukan perilaku jahat sendiri, membutuhkan nilai khusus untuk argumen eksekusi. Nilai tersebut digunakan sebagai informasi kunci untuk menjalankan file DLL yang disertakan dalam MSI.”
“Dengan demikian, file itu sendiri tidak melakukan aktivitas ransomware pada produk keamanan dari berbagai lingkungan sandbox, sehingga sulit untuk mendeteksi Gwisin. DLL internal ransomware beroperasi dengan disuntikkan ke dalam proses Windows normal. Prosesnya berbeda untuk setiap perusahaan yang terinfeksi.”
Ransomware GwisinLocker dapat beroperasi dalam mode aman, pertama-tama menyalin dirinya sendiri ke jalur ProgramData tertentu dan kemudian terdaftar sebagai layanan sebelum memaksa sistem reboot.
Peneliti dari Reversinglabs menganalisis versi Linux dari ransomware, mereka menunjukkan bahwa itu adalah malware canggih dengan fitur yang dirancang khusus untuk mengelola host Linux dan menargetkan mesin virtual VMWare ESXI. GwisinLocker menggabungkan enkripsi kunci simetris AES dengan hashing SHA256, yang menghasilkan kunci unik untuk setiap file.
Para korban varian GwisinLocker Linux diharuskan masuk ke portal yang dioperasikan oleh grup untuk menghubungi para penjahat.
“Analisis dan pelaporan publik dari kampanye GwisinLocker yang lebih besar menunjukkan bahwa ransomware ada di tangan aktor ancaman canggih yang mendapatkan akses ke dan kontrol atas lingkungan target sebelum penyebaran ransomware. Itu termasuk mengidentifikasi dan mencuri data sensitif untuk digunakan dalam apa yang disebut kampanye “pemerasan ganda”. menyimpulkan laporan yang diterbitkan oleh Reversinglabs.
“Rincian dalam contoh catatan tebusan kelompok menunjukkan keakraban dengan bahasa Korea serta pemerintah Korea Selatan dan penegak hukum. Hal ini menimbulkan spekulasi bahwa Gwisin mungkin adalah kelompok ancaman persisten lanjutan (APT) yang terkait dengan Korea Utara”
Sumber : Security Affairs
