‘GwisinLocker’ adlı yeni bir fidye yazılımı ailesi, VMware ESXi sunucularını ve sanal makineleri şifreleme desteği de dahil olmak üzere Windows ve Linux şifreleyicilere sahip Güney Koreli sağlık, endüstri ve ilaç şirketlerini hedefliyor.
Yeni kötü amaçlı yazılım, Korece’de “hayalet” anlamına gelen Gwisin adlı daha az bilinen bir tehdit aktörünün ürünüdür. Oyuncunun kökeni bilinmiyor ancak Korece hakkında iyi bir bilgiye sahip görünüyor.
Ayrıca, saldırılar Kore’nin resmi tatilleriyle aynı zamana denk geldi ve sabahın erken saatlerinde gerçekleşti, bu nedenle Gwisin ülkenin kültürünü ve iş rutinlerini iyi kavradı.
Gwisin ve faaliyetleriyle ilgili haberler ilk olarak Güney Kore medyasında yer aldı geçen ayın sonlarındatehdit aktörü ülkedeki büyük ilaç firmalarını tehlikeye attığında.
Çarşamba günü, Koreli siber güvenlik uzmanları Ahnlab Windows şifreleyici hakkında bir rapor yayınladı ve dün güvenlik araştırmacıları Tersine Çevirme Laboratuvarları Linux versiyonunun teknik analizini yayınladı.
Windows ve Linux sunucularını hedefleme
GwisinLocker, Windows cihazlarını şifrelediğinde, enfeksiyon, fidye yazılımı şifreleyicisi olarak işlev gören gömülü DLL’yi düzgün şekilde yüklemek için özel komut satırı bağımsız değişkenleri gerektiren bir MSI yükleyici dosyasının yürütülmesiyle başlar.
Komut satırı argümanları gerektirmek, güvenlik araştırmacılarının fidye yazılımını analiz etmesini zorlaştırır.
Uygun komut satırı argümanları sağlandığında, MSI, her şirket için farklı olan AV algılamasından kaçınmak için dahili DLL’sinin (fidye yazılımı) şifresini çözecek ve bir Windows işlemine enjekte edecektir.
Yapılandırma bazen fidye yazılımını güvenli modda çalışacak şekilde ayarlayan bir argüman içerir. Bu durumlarda, kendisini bir ProgramData alt klasörüne kopyalar, bir hizmet olarak kaydeder ve ardından güvenli modda yeniden başlatmaya zorlar.
ReversingLabs tarafından analiz edilen Linux sürümü için, şifreleyici, Linux şifreleyicisinin sanal makineleri nasıl şifreleyeceğini kontrol eden iki komut satırı argümanı da dahil olmak üzere, VMware ESXi sanal makinelerini şifrelemeye güçlü bir şekilde odaklanır.
GwisinLocker Linxu şifreleyici için komut satırı bağımsız değişkenleri aşağıda listelenmiştir:
Usage: Usage
-h, --help show this help message and exit
Options
-p, --vp= Comma-separated list of paths to encrypt
-m, --vm= Kills VM processes if 1; Stops services and processes if 2
-s, --vs= Seconds to sleep before execution
-z, --sf= Skip encrypting ESXi-related files (those excluded in the configuration)
-d, --sd= Self-delete after completion
-y, --pd= Writes the specified text to a file of the same name
-t, --tb= Enters loop if Unix time is
Bu argümanlar şunları içerir: --vm
ESXi sanal makinelerini numaralandırmak ve kapatmak için aşağıdaki komutları yürütecek olan flag.
esxcli --formatter=csv --format-param=fields=="DisplayName,WorldID" vm process list
esxcli vm process kill --type=force --world-id="[ESXi] Shutting down - %s"
Linux sunucusunu kullanılamaz hale getirmekten kaçınmak için GwisinLocker, aşağıdaki dizinleri şifrelemenin dışında tutacaktır.
sürece --sf
komut satırı argümanı kullanıldığında, Linux fidye yazılımı, sunucunun önyüklenemez hale gelmesini önlemek için belirli VMware ESXi ile ilgili dosyaları da (state.tgz, useropts.gz, jumpstrt.gz, vb.) hariç tutacaktır.
Son olarak, fidye yazılımı, verilerini kilitleme işlemi için kullanılabilir hale getirmek için şifrelemeyi başlatmadan önce birkaç Linux arka plan programını sonlandırıyor.
Dosyaları şifrelerken, şifreleyici, SHA256 karma ile AES simetrik anahtar şifrelemesini kullanır.
Her kurban için özelleştirilmiş
Saldırıda hedeflenen işletim sistemi ne olursa olsun, tüm şifreleyiciler, fidye notunda şirket adını içerecek ve şifrelenmiş dosya adları için benzersiz bir uzantı kullanacak şekilde özelleştirilmiştir.
BleepingComputer tarafından bilinen bir kurban için, tehdit aktörleri fidye notunu, saldırı sırasında çalınan ve aşağıdaki notta düzelttiğimiz belirli verileri içerecek şekilde büyük ölçüde özelleştirdi.
Fidye notlarının adı ‘!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT’ ve İngilizce olarak yazılmıştır ve mağdurun Güney Kore kolluk kuvvetleri veya KISA (Kore İnternet ve Güvenlik Ajansı) ile iletişim kurmaması konusunda bazı uyarılar içermektedir.
Bunun yerine kurbanlara Tor tarayıcısını kullanarak bir soğan adresini ziyaret etmeleri, verilen kimlik bilgileriyle oturum açmaları ve fidye ödeme ve dosyaları geri yükleme talimatlarını izlemeleri söyleniyor.
AhnLab’s ve ReversingLabs, GwisinLocker’ın öncelikle Güney Koreli sanayi ve ilaç şirketlerini hedeflediğini belirtirken, BleepingComputer da hedeflenen bir sağlık kliniğinin farkında.