Este nuevo ransomware cifra servidores ESXi de Windows y Linux
Una nueva familia de ransomware llamada ‘GwisinLocker’ está apuntando a las empresas de salud, industriales y farmacéuticas de Corea del Sur con cifradores para Windows y Linux. El ransomware incluye soporte para cifrar servidores VMware ESXi y máquinas virtuales.
El nuevo malware es producto de un grupo de ciberdelincuentes no tan conocido llamado Gwisin, que significa “fantasma” en coreano. El grupo es de origen desconocido pero parece tener un buen conocimiento del idioma coreano.
Además, los ataques coincidieron con días festivos coreanos y ocurrieron durante las primeras horas de la mañana. En otras palabras, Gwisin tiene un buen conocimiento de la cultura y las rutinas comerciales del país.
Los informes sobre Gwisin y sus actividades aparecieron por primera vez en los medios de comunicación de Corea del Sur a finales del mes pasado. En ese momento, el grupo de ciberdelincuentes comprometió a grandes empresas farmacéuticas del país.
El miércoles, los expertos coreanos en ciberseguridad de Ahnlab publicaron un informe sobre el cifrador de Windows. Y, ayer, los investigadores de seguridad de ReversingLabs publicaron su análisis técnico de la versión de Linux.
Debido a la familiaridad con el idioma coreano, así como con el gobierno de Corea del Sur y las autoridades, ReversingLabs dijo que Gwisin puede ser un grupo de amenaza persistente avanzada (APT) vinculado a Corea del Norte.
Apuntando a servidores Windows
Cuando GwisinLocker cifra los dispositivos Windows, la infección comienza con la ejecución de un archivo de instalación MSI. Este requiere argumentos de línea de comandos especiales para cargar correctamente la DLL incrustada que actúa como el cifrador del ransomware.
Requerir argumentos de línea de comandos hace que sea más difícil para los investigadores de seguridad analizar el ransomware.
Cuando se proporcionan los argumentos de línea de comandos adecuados, el MSI descifra e inyecta su DLL interna (ransomware) en un proceso de Windows. Esto tiene el objetivo de evadir la detección de los antivirus; es diferente para cada empresa.
La configuración a veces incluye un argumento que configura el ransomware para operar en modo seguro. En esos casos, se copia a sí mismo en una subcarpeta ProgramData, se registra como un servicio y luego fuerza un reinicio en modo seguro.