Investigadores de ReversingLabs han descubierto una nueva familia de ransomware dirigida a sistemas basados en Linux en Corea del Sur.
Apodado GwisinLocker, el malware fue detectado por ReversingLabs el 19 de julio mientras realizaba exitosas campañas dirigidas a empresas del sector industrial y farmacéutico.
“En esos incidentes, a menudo lanzaba ataques en días festivos y durante las primeras horas de la mañana (hora coreana), buscando aprovechar los periodos en los que el personal y la vigilancia en los entornos objetivo estaban relajados”, escribió ReversingLabs en un aviso publicado el jueves.
En el documento, la empresa afirmaba que GwisinLocker es una nueva variante de malware creada por un actor de amenazas (AT) poco conocido hasta ahora, llamado “Gwisin” (término coreano que significa “fantasma” o “espíritu”).
“En las comunicaciones con sus víctimas, el grupo Gwisin afirma tener un profundo conocimiento de su red y asegura que exfiltró datos con los que extorsionar a la empresa”, señala ReversingLabs.
Además, las notas de rescate asociadas a GwisinLocker.Linux contenían información interna detallada del entorno comprometido, y los archivos cifrados utilizaban extensiones de archivo personalizadas para usar el nombre de la empresa víctima.
En cuanto a los detalles del sistema de pago detrás del ransomware, ReversingLabs dijo que las víctimas de GwisinLocker.Linux tienen que entrar en un portal operado por el grupo y establecer canales de comunicación privados para completar el pago del rescate.
Debido a la familiaridad con el idioma coreano, así como con el gobierno de Corea del Sur y las fuerzas del orden, ReversingLabs dijo que Gwisin puede ser un grupo de amenaza persistente avanzada (APT) vinculado a Corea del Norte.
Los investigadores de seguridad concluyeron el aviso advirtiendo a las empresas afectadas por GwisinLocker que revisen los Indicadores de Compromiso del informe y los pongan a disposición de los equipos de caza de amenazas internos o externos.
Info – Ciberseguridad Latam