針對Windows和Linux ESXi伺服器,GwisinLocker勒索軟體發起勒索攻擊

語言: CN / TW / HK

近期,一個名為“GwisinLocker”的新勒索軟體系列針對具有Windows和Linux加密器的韓國醫療保健、工業和製藥公司發動勒索攻擊,包括對加密VMware ESXi伺服器和虛擬機器。新的惡意軟體是一個鮮為人知的威脅行為者Gwisin的產物,在韓語中意為“幽靈”。該威脅行為者來歷不明,但似乎精通韓語。

此外,襲擊恰逢韓國公眾假期,並且發生在凌晨,這就表明Gwisin對該國的文化和商業慣例有很好的掌握。關於Gwisin及其活動的報道於上個月底首次出現在韓國媒體上,當時威脅者入侵了該國的大型製藥公司。

週三,Ahnlab的韓國網路安全專家釋出了一份關於Windows加密器的報告,當GwisinLocker加密Windows裝置時,感染始於MSI安裝程式檔案的執行,該檔案需要特殊的命令列引數才能正確載入充當勒索軟體加密器的嵌入式DLL。當提供正確的命令列引數時,MSI將解密並將其內部DLL(勒索軟體)注入Windows程序以逃避檢測,這對於每個公司來說都是不同的。配置有時包含一個引數,將勒索軟體設定為在安全模式下執行。在這些情況下,它會將自身複製到 ProgramData子資料夾,註冊為服務,然後強制以安全模式重新啟動。對於ReversingLabs 分析的 Linux 版本,加密器著重於加密 VMware ESXi 虛擬機器,包括控制 Linux 加密器如何加密虛擬機器的兩個命令列引數。

下面列出了 GwisinLocker Linxu 加密器的命令列引數:

這些引數包括--vm標誌,它將執行以下命令來列舉 ESXi 虛擬機器並關閉它們。

為避免使 Linux 伺服器無法使用,GwisinLocker 將從加密中排除以下目錄。

除非使用--sf命令列引數,否則 Linux 勒索軟體還將排除特定的 VMware ESXi 相關檔案(state.tgz、useropts.gz、jumpstrt.gz 等),以防止伺服器無法啟動。

最後,勒索軟體會在啟動加密之前終止幾個 Linux 守護程式,以使它們的資料可用於鎖定過程。

參考來源:https://www.bleepingcomputer.com/news/security/new-gwisinlocker-ransomware-encrypts-windows-and-linux-esxi-servers/