針對Windows和Linux ESXi服務器，勒索軟件發起攻擊

研究人員警告稱，一種名為GwisinLocker的新勒索軟件能夠對Windows和Linux ESXi服務器進行加密。該勒索軟件針對韓國醫療、工業和制藥公司，其名稱來自作者“Gwisin”（韓語中的幽靈）的名字。

勒索軟件通過針對特定組織的定向攻擊進行分發。專家們還表示，韓國警方，國家情報局和KISA等韓國實體的名稱也出現在勒索信上。

據當地媒體報道，Gwisin黑客在公休日和凌晨攻擊了韓國公司。

Windows系統上的攻擊鏈利用MSI安裝程序，需要一個特殊值作為參數來運行MSI中包含的DLL文件。

“它類似于Magniber，因為它以MSI安裝程序的形式運行。但與針對隨機個體的Magniber不同，Gwisin本身不執行惡意行為，它需要為執行參數提供特殊值，該值用作運行MSI中包含的DLL文件的關鍵信息。”安全公司Ahnlab發布的報告中寫道。“文件本身不會在各種沙箱環境的安全產品上執行勒索軟件活動，因此很難檢測到Gwisin，勒索軟件的內部DLL通過注入正常的Windows進程來運行，對于每個受攻擊的公司來說，這個過程都是不同的。”

GwisinLocker勒索軟件能夠在安全模式下運行，它首先將自身復制到ProgramData的某個路徑，然后在強制系統重新啟動之前注冊為服務。

Reversinglabs的研究人員分析了勒索軟件的Linux版本，他們指出這是一種復雜的惡意軟件，具有專門設計用于管理Linux主機和針對VMWare ESXI虛擬機的功能。GwisinLocker將AES對稱密鑰加密與SHA256哈希相結合，為每個文件生成唯一密鑰。

Linux GwisinLocker變體的受害者需要登錄到該組織運營的門戶網站，才能與黑客取得聯系。

“對更大規模的GwisinLocker活動的分析和公開報道表明，勒索軟件掌握在復雜的黑客手中，他們在部署勒索軟件之前獲得了對目標環境的訪問和控制權，這包括識別和竊取敏感數據，用于所謂的“雙重勒索”活動。”Reversinglabs發布的報告總結道。“該組織勒索信中的細節表明，他們熟悉韓語以及韓國政府和執法部門。因此人們猜測，Gwisin可能是一個與朝鮮有關的高級持續威脅（APT）組織。”