Ransomware GwisinLocker criptografa servidores Windows e Linux

E o novo Ransomware GwisinLocker criptografa servidores Windows e Linux, incluindo servidores VMware ESXi e máquinas virtuais.

Uma nova família de ransomware chamada ‘GwisinLocker’ tem como alvo empresas sul-coreanas de saúde, indústrias e farmacêuticas com criptografadores Windows e Linux, incluindo suporte para criptografar servidores VMware ESXi e máquinas virtuais.

Ransomware GwisinLocker criptografa servidores Windows e Linux

Ransomware GwisinLocker criptografa servidores Windows e Linux
Ransomware GwisinLocker criptografa servidores Windows e Linux

O novo malware é o produto de um agente de ameaças menos conhecido apelidado de Gwisin, que significa “fantasma” em coreano. O ator é de origem desconhecida, mas parece ter um bom conhecimento da língua coreana.

Além disso, os ataques coincidiram com feriados coreanos e ocorreram durante as primeiras horas da manhã, então Gwisin tem uma boa compreensão da cultura e das rotinas de negócios do país.

Relatos sobre Gwisin e suas atividades apareceram pela primeira vez nos meios de comunicação sul-coreanos no final do mês passado, quando o ator da ameaça comprometeu grandes empresas farmacêuticas no país.

Na quarta-feira, especialistas coreanos em segurança cibernética da Ahnlab publicaram um relatório sobre o criptografador do Windows e, ontem, pesquisadores de segurança da ReversingLabs publicaram sua análise técnica da versão Linux.

Quando o GwisinLocker criptografa dispositivos Windows, a infecção começa com a execução de um arquivo do instalador MSI, que requer argumentos especiais de linha de comando para carregar corretamente a DLL incorporada que atua como o criptografador do ransomware.

A exigência de argumentos de linha de comando dificulta a análise do ransomware pelos pesquisadores de segurança.

Quando os argumentos de linha de comando adequados são fornecidos, o MSI descriptografa e injeta sua DLL interna (ransomware) em um processo do Windows para evitar a detecção de AV, que é diferente para cada empresa.

A configuração às vezes inclui um argumento que define o ransomware para operar no modo de segurança. Nesses casos, ele se copia para uma subpasta ProgramData, registra-se como um serviço e força uma reinicialização no modo de segurança.

Para a versão Linux analisada pelo ReversingLabs, o criptografador se concentra fortemente na criptografia de máquinas virtuais VMware ESXi, incluindo dois argumentos de linha de comando que controlam como o criptografador Linux criptografará as máquinas virtuais.

Os argumentos de linha de comando para o criptografador GwisinLocker Linxu estão listados abaixo:
Uso: Uso
-h, --help mostra esta mensagem de ajuda e sai
Opções
-p, --vp= Lista de caminhos separados por vírgulas para criptografar
-m, --vm= Mata os processos da VM se 1; Interrompe serviços e processos se 2
-s, --vs= Segundos para dormir antes da execução
-z, --sf= Ignora a criptografia de arquivos relacionados ao ESXi (aqueles excluídos na configuração)
-d, --sd= Autoexclusão após a conclusão
-y, --pd= Grava o texto especificado em um arquivo com o mesmo nome
-t, --tb= Entra em loop se o tempo Unix for

Esses argumentos incluem o sinalizador --vm, que executará os comandos a seguir para enumerar as máquinas virtuais ESXi e desligá-las.
esxcli --formatter=csv --format-param=fields=="DisplayName,WorldID" vm process list
esxcli vm process kill --type=force --world-id="[ESXi] Shutting down - %s"

Para evitar tornar o servidor Linux inutilizável, o GwisinLocker excluirá os seguintes diretórios da criptografia.

Ransomware GwisinLocker criptografa servidores Windows e Linux
Ransomware GwisinLocker criptografa servidores Windows e Linux – Processos excluídos da criptografia (ReversingLabs)

A menos que o argumento de linha de comando --sf seja usado, o ransomware Linux também excluirá arquivos específicos relacionados ao VMware ESXi (state.tgz, useropts.gz, jumpstrt.gz, etc.) para evitar que o servidor se torne não inicializável.

Por fim, o ransomware encerra vários daemons do Linux antes de iniciar a criptografia para disponibilizar seus dados para o processo de bloqueio.

Ransomware GwisinLocker criptografa servidores Windows e Linux
Ransomware GwisinLocker criptografa servidores Windows e Linux – Serviços eliminados antes da criptografia (ReversingLabs)

Ao criptografar arquivos, o criptografador usa criptografia de chave simétrica AES com hash SHA256.

Independentemente do sistema operacional visado no ataque, todos os criptografadores são personalizados para incluir o nome da empresa na nota de resgate e usar uma extensão exclusiva para nomes de arquivos criptografados.

Para uma vítima conhecida pelo site BleepingComputer, os agentes de ameaças personalizaram fortemente a nota de resgate para incluir os dados específicos que foram roubados durante o ataque, que redigimos na nota abaixo.

As notas de resgate são chamadas de ‘!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT’ e estão escritas em inglês, com alguns alertas à vítima para não entrar em contato com as agências de aplicação da lei sul-coreanas ou KISA (Coreia da Internet e Agência de Segurança).

Um exemplo de nota de resgate do GwisinLocker Fonte: BleepingComptuer
Ransomware GwisinLocker criptografa servidores Windows e Linux – Um exemplo de nota de resgate do GwisinLocker Fonte: BleepingComptuer

Em vez disso, as vítimas são instruídas a visitar um endereço onion usando o navegador Tor, fazer login com as credenciais fornecidas e seguir as instruções sobre como pagar um resgate e restaurar arquivos.

Enquanto AhnLab’s e ReversingLabs observaram que o GwisinLocker visa principalmente empresas industriais e farmacêuticas sul-coreanas, a BleepingComputer está ciente de uma clínica de saúde que também foi visada.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.