ReversingLabs’ın siber güvenlik analistleri tarafından, bir dizi şifreleme yöntemi kullanarak özellikle Linux tabanlı sistemleri hedefleyen yeni bir fidye yazılımı ailesi keşfedildi. GwisinLocker, saldırıdan sorumlu kötü amaçlı yazılımdır.
GwisinLocker fidye yazılımı, endüstri ve ilaç sektöründeki Güney Koreli şirketleri hedef alan en yeni fidye yazılımı türlerinden biridir.
Tamamen yeni bir kötü amaçlı yazılım çeşidi olmasının yanı sıra, daha önce pek bilinmeyen bir tehdit aktörü tarafından üretilmiş olmasıyla dikkat çekiyor.
Açık kaynaklı Linux işletim sistemini çalıştıran sistemleri hedeflemek için özel olarak tasarlanmıştır ve yalnızca VMware ESXi sunucularını ve VM’lerini şifrelemeyi de desteklemekle kalmaz. Önemli bir ağ güvenliğinin ihlal edilmesinin bir sonucu olarak, fidye yazılımı dağıtıldı ve verilerin güvenliği ihlal edildi ve sızdırıldı.
Sabahın erken saatlerinde, saldırılar Kore resmi tatillerinde gerçekleşti. Bu nedenle Gwisin, ülkedeki kültürel ve ticari uygulamalar hakkında kapsamlı bir anlayışa sahiptir.
Windows ve Linux ESXi Sunucularını Hedefler
Geçen ayın sonlarında, tehdit aktörü Güney Kore’deki büyük ilaç şirketlerini tehlikeye attığında, Gwisin ve faaliyetleri hakkında bilgiler Güney Kore medyasında görünmeye başladı.
Şifreleme işlemi sırasında GwisinLocker, enfeksiyon başladığında yürütülen bir MSI dosyası kullanarak cihazı şifreler.
Fidye yazılımı şifreleyicisi olarak işlev gören gömülü DLL, düzgün şekilde yüklemek için komut satırına eklenmesi gereken belirli komut satırı bağımsız değişkenlerine ihtiyaç duyar.
Güvenlik araştırmacıları, komut satırı argümanları gerektirdiğinde fidye yazılımlarını analiz etmeyi daha zor buluyor. Uygun komut satırı bağımsız değişkenleri sağlandığında virüsten koruma yazılımı tarafından algılanmaması için bir Windows işleminin şifresi çözülecek ve dahili DLL’si buna enjekte edilecektir.
Yapılandırma dosyasında açıkça bir güvenli mod bağımsız değişkeni belirterek fidye yazılımını güvenli modda çalışacak şekilde yapılandırmak da mümkündür.
ESXi sanal makineleri, şifreleyicinin bu sanal makineleri şifrelemesine izin veren iki komut satırı argümanı içeren şifreleyicinin ana odak noktasıdır.
Bu parametreyi kullanarak, Linux sanal makine şifreleme aracı, sanal makinelerin şifrelenme şeklini kontrol edebilir.
Fidye notu
Her şifreleyici, saldırıda hangilerinin hedeflendiğine bakılmaksızın, saldırıda hedeflenen her bir işletim sistemi için özelleştirilmiştir. Özelleştirmelerinin bir sonucu olarak, aşağıdaki gereksinimleri karşılarlar:-
Fidye notunda şirketin adı yer alıyor.
Şifrelenmiş dosyaların adlarından önce her zaman benzersiz bir uzantı gelir.
Fidye notunun bir parçası olarak, aşağıdaki türde isimler bulacaksınız:-
- ‘!!!_NASIL AÇILIR_[company_name]_FILES_!!!.TXT’
Fidye notları, Güney Kore kolluk kuvvetleri ve KISA’nın mağdurlar tarafından temasa geçilmemesi gerektiği konusunda açıkça uyarıyor ve fidye notları İngilizce olarak yazıldı.
Dosyaları geri yüklemek için kurbanlara, operatörler tarafından sağlanan bir soğan adresine erişmek, oturum açmak ve fidyeyi ödemek için Tor tarayıcısını kullanmaları talimatı verildi.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.