Una nueva familia de ransomware llamada 'GwisinLocker' se dirige a las empresas de salud, industriales y farmacéuticas de Corea del Sur con encriptadores de Windows y Linux, incluido el soporte para encriptar servidores VMware ESXi y máquinas virtuales.
El malware se destaca por ser una nueva variante de malware producida por un actor de amenazas previamente poco conocido, denominado "Gwisin", una palabra coreana que significa "fantasma".El ransomware se implementa luego de un compromiso sustancial de la red y la filtración de datos.
Cabe destacar que los ataques coincidieron con días festivos coreanos y ocurrieron durante las primeras horas de la mañana, por lo que Gwisin tiene un buen conocimiento de la cultura y las rutinas comerciales del país.
En el caso de objetivos de Windows, el ransomware procede mediante la ejecución de un archivo de instalación MSI que necesita argumentos de línea de comandos específicos para cargar la DLL incrustada. La DLL es, de hecho, el componente de encriptación del ransomware.
Si este apunta a Linux, el ransomware se dirige principalmente a las máquinas virtuales VMware ESXi utilizando dos argumentos de línea de comandos que controlan la forma en que la amenaza cifra las máquinas virtuales. El elemento común en los ataques que realiza GwisinLocker es que las notas de rescate se personalizan de dos maneras – para incluir el nombre de la empresa objetivo y agregar una extensión única en cada infección.
Cabe señalar que la nota de rescate se denomina !!!_COMO DESBLOQUEAR_[nombre de empresa]_ARCHIVOS_!!!.TXT, esta escrito en ingles, y contiene una advertencia de no ponerse en contacto con las agencias de aplicación de la ley de Corea del Sur o KISA (Agencia de Seguridad e Internet de Corea).
El análisis y los informes públicos de la campaña más grande de GwisinLocker sugieren que el ransomware está en manos de actores de amenazas sofisticados que obtienen acceso y control sobre los entornos de destino antes de la implementación del ransomware. Eso incluye la identificación y el robo de datos confidenciales para su uso en las llamadas campañas de "doble extorsión".
Esta amenaza debería preocupar especialmente a las empresas industriales y farmacéuticas de Corea del Sur, que representan la mayor parte de las víctimas de Gwisin hasta la fecha por lo que deberían tomar medidas de prevención frente a esta amenaza.
