Gwisin-Erkennung: Bedrohungsakteure verbreiten Gwisin-Ransomware, die sich gegen koreanische Unternehmen richtet
Inhaltsverzeichnis:
Gwisin-Ransomware, die koreanische Unternehmen in verschiedenen Branchen ins Visier nimmt, nimmt derzeit im Bereich der Cyber-Bedrohungen zu. Zugeschrieben den koreanischsprachigen Bedrohungsakteuren wird Gwisin-Ransomware in gezielten Angriffen auf bestimmte Organisationen eingesetzt statt auf zufällige Individuen abgezielt und führt keine böswilligen Handlungen von sich aus durch, was ihre Erkennung erschwert. Die Ransomware wird im MSI-Installationsdateiformat verbreitet und wendet unterschiedliche Verhaltensweisen zur Infektionsausbreitung an, die sich je nach kompromittierter Organisation unterscheiden.
Gwisin-Ransomware erkennen
Die Cybersicherheits-Community steht kontinuierlich vor der Herausforderung, die durch eskalierende hochkarätige Ransomware-Angriffe verursacht wird, die nicht nur hinsichtlich Volumen und Vektoren, sondern auch hinsichtlich ihrer Auswirkungen und Geschwindigkeit zunehmen. Um Sicherheitspraktikern zu helfen, bösartige Aktivitäten im Zusammenhang mit Gwisin-Ransomware proaktiv zu erkennen, hat unser engagierter Threat-Bounty-Entwickler Onur Atali eine dedizierte Sigma-Regel veröffentlicht.
Mögliche Ausführung von Gwisin-Ransomware durch Erkennung zugehöriger Befehle (über cmdline)
Die Regel unterstützt Übersetzungen in 23 SIEM-, EDR- und XDR-Formate und ist auf das MITRE ATT&CK-Framework v.10. abgestimmt, das die Taktiken ‚Execution‘ und ‚Impact‘ mit den Techniken ‚Command and Scripting Interpreter‘ (T1059), ‚User Execution‘ (T1204), ‚Data Encrypted for Impact‘ (T1486) und ‚Disk Wipe‘ (T1561) als primäre Techniken adressiert.
Begeistert, an der kollaborativen Cyber-Verteidigung teilzunehmen und der Cybersicherheits-Community beim Überstehen neuer Bedrohungen zu helfen? Treten Sie dem SOC Prime Threat Bounty Programmbei, reichen Sie Ihre eigenen Sigma-Regeln ein und erhalten Sie wiederkehrende Belohnungen, während Sie zu einer sichereren Cyber-Zukunft beitragen! Angesichts der zunehmenden Bedrohung durch Ransomware benötigen Bedrohungsjäger und SOC-Analysten innovative Bedrohungserkennungsansätze, um auf eine wachsende Anzahl von Sicherheitsvorfällen rechtzeitig zu reagieren, den Lärm zu übertönen und bessere Transparenz über die Angriffsfläche zu erhalten. Registrierte SOC Prime-Plattformbenutzer können auf den größten Pool von Erkennungsalgorithmen zugreifen, um nach verschiedenen Ransomware-Bedrohungen zu suchen, indem sie die Taste Erkennen & Jagen drücken. Nicht registrierte Benutzer können auf das Ransomware-bezogene Regelkit und alle relevanten Metadaten, einschließlich MITRE ATT&CK-Referenzen und CTI-Links, zugreifen, indem sie die Taste Bedrohungskontext erkunden drücken.
Erkennen & Jagen Bedrohungskontext erkunden
Analyse der Gwisin-Ransomware
Laut dem Detection as Code Innovationsbericht 2021 von SOC Primesind Ransomware-Angriffe im Jahr 2021-2022 weiterhin ein wachsender Trend, da die Eindringmöglichkeiten zunehmend raffinierter und die Anzahl der Ransomware-Operatoren kontinuierlich steigt. Gwisin-Ransomware, die koreanische Unternehmen angreift, ist derzeit im Aufschwung und wird der gegnerischen Aktivität der gleichnamigen Malware-Operatoren zugeschrieben, die über umfangreiche Kenntnisse der koreanischen Sprache verfügen. Zu den häufigsten Merkmalen von Gwisin gehören seine Fähigkeit, böswilliges Verhalten zu zeigen, indem es in einen Windows-Systemprozess injiziert wird, die Fähigkeit der Ransomware, Informationen über das kompromittierte Unternehmen in der internen DLL-Datei, die im Erpresserbrief angezeigt wird, einzuschließen, und seine Unterstützung für raffinierte Funktionen, um Dateien im sicheren Modus zu verschlüsseln.
Bedrohungsakteure, die als Gwisin bekannte Malware verbreiten, was auf Koreanisch ‚Geist‘ bedeutet, sind auch dafür bekannt, eine neuartige Ransomware-Familie namens GwisinLocker zu verbreiten, die sich auf prominente südkoreanische Gesundheits-, Industrie- und Pharmaunternehmen richtet und in der Lage ist, Windows- und Linux ESXi-Server zu verschlüsseln. In diesen Angriffen nutzt die Ransomware das MSI-Installationsdateiformat und verwendet einen Argumentwert, um die in der MSI enthaltene DLL-Datei auszuführen. Der Einsatz von Befehlszeilenargumenten erschwert es Cyberverteidigern, die Ransomware-Beispiele zu erkennen und zu analysieren.
Abgesehen von Ransomware-Angriffen auf Windows-Systeme haben ReversingLabs-Forscher auch die GwisinLocker-Malware-Version enthüllt, die auf Linux-basierte Systeme abzielt. Laut der durchgeführten Forschung versuchen die Betreiber der Gwisin-Ransomware, die Kontrolle über Linux-Hosts zu übernehmen und mit VMWare ESXI-virtuellen Maschinen zu interagieren, während sie doppelte Erpressungsangriffe durchführen, die darauf abzielen, sensible Daten von Organisationen zu stehlen.
Mit den steigenden Volumina hochkarätiger Ransomware-Angriffe suchen Cyberverteidiger nach neuen Möglichkeiten, um proaktiv gegen die damit verbundenen Bedrohungen zu verteidigen und die bösartige Aktivität rechtzeitig zu erkennen. SOC Primes Detection as Code-Plattform kuratiert über 200.000 einzigartige Erkennungsalgorithmen, die auf mehr als 25 SIEM-, EDR- und XDR-Lösungen zugeschnitten sind und den spezifischen Inhaltsbedürfnissen von Organisationen entsprechen. Ambitionierte Erkennungsingenieure und Bedrohungsjäger können auch das kollektive Fachwissen in der Cybersicherheit mit ihren eigenen Erkennungsinhalten bereichern, indem sie der Crowdsourcing-Initiative von SOC Prime beitreten, Sigma- und YARA-Regeln verfassen, diese mit Branchenkollegen teilen und wiederkehrende finanzielle Belohnungen für ihre Beiträge erhalten.
