Detección de Gwisin: Actores de Amenazas Difunden Ransomware Gwisin Dirigido a Empresas Coreanas
Tabla de contenidos:
El ransomware Gwisin que apunta a empresas coreanas en múltiples industrias está aumentando actualmente en el ámbito de las amenazas cibernéticas. Atribuido a actores de amenazas de habla coreana, el ransomware Gwisin se utiliza en ataques dirigidos a organizaciones específicas en lugar de a individuos al azar y no realiza comportamientos maliciosos por sí solo, lo que hace que su detección sea más difícil. El ransomware se distribuye en el formato de archivo instalador MSI y aplica comportamientos diversos para propagar la infección que difieren para cada organización comprometida.
Detectar Ransomware Gwisin
La comunidad de ciberseguridad enfrenta continuamente el desafío provocado por el aumento de ataques de ransomware de alto perfil, acelerando no solo en términos de volumen y vectores, sino también en términos de su impacto y velocidad. Para ayudar a los profesionales de seguridad a detectar proactivamente actividades maliciosas asociadas con el ransomware Gwisin, nuestro desarrollador de Threat Bounty Onur Atali ha lanzado una regla Sigma dedicada.
La regla admite traducciones a 23 formatos SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK v.10. cubriendo las tácticas de Ejecución e Impacto con Intérprete de Comandos y Scripts (T1059), Ejecución de Usuario (T1204), Datos Cifrados para Impacto (T1486) y Borrado de Disco (T1561) como las técnicas principales.
¿Entusiasta de unirte a la defensa cibernética colaborativa y ayudar a la comunidad de ciberseguridad a resistir las amenazas emergentes? Únete al Programa de Recompensas por Amenazas de SOC Prime, envía tus propias reglas Sigma y obtén recompensas recurrentes mientras contribuyes a un futuro más seguro en el ciberespacio. En vista del creciente peligro del ransomware, los cazadores de amenazas y los analistas de SOC requieren enfoques innovadores de detección de amenazas para reaccionar a tiempo a un número creciente de incidentes de seguridad, cortar el ruido y obtener mejor visibilidad al alcance de los ataques. Los usuarios registrados de la plataforma SOC Prime pueden acceder al mayor grupo de algoritmos de detección para buscar diversas amenazas de ransomware presionando el botón Detectar & Cazar . Los usuarios no registrados pueden acceder al kit de reglas relacionadas con el ransomware y a todos los metadatos relevantes, incluidas las referencias de MITRE ATT&CK y enlaces CTI mediante el botón Explorar Contexto de Amenazas .
Detectar & Cazar Explorar Contexto de Amenazas
Análisis de Ransomware Gwisin
De acuerdo con el Informe de Innovación en Detección como Código de SOC Prime 2021, los ataques de ransomware continúan siendo la tendencia creciente en 2021-2022 con el aumento de la sofisticación de las intrusiones y un número constantemente creciente de operadores de ransomware. El ransomware Gwisin que ataca a empresas coreanas está actualmente en aumento, atribuido a la actividad adversaria de los operadores de malware homónimos con un alto dominio del idioma coreano. Entre las características más comunes de Gwisin está su capacidad para realizar comportamientos maliciosos al ser inyectado en un proceso del sistema Windows, la capacidad del ransomware para incluir información sobre la empresa comprometida dentro del archivo DLL interno que se muestra en la nota de rescate, y su soporte para funcionalidades sofisticadas para cifrar archivos en un modo seguro.
Los actores de amenazas que propagan malware denominado Gwisin, que significa “fantasma” en coreano, también son conocidos por propagar una nueva familia de ransomware llamada GwisinLocker que apunta a destacadas empresas de atención médica, industriales y farmacéuticas de Corea del Sur y capaz de cifrar servidores Windows y Linux ESXi. En estos ataques, el ransomware aplica el formato de archivo instalador MSI y aprovecha un valor de argumento para ejecutar el archivo DLL incluido en el MSI. El uso de argumentos de línea de comandos dificulta a los defensores cibernéticos detectar y analizar las muestras de ransomware.
Aparte de los ataques de ransomware en sistemas Windows, los investigadores de ReversingLabs también revelaron la versión de malware GwisinLocker destinada a sistemas basados en Linux. Según la investigación realizada, los operadores de ransomware Gwisin intentan tomar el control de hosts de Linux e interactuar con las máquinas virtuales VMWare ESXI mientras realizan ataques de doble extorsión diseñados para robar datos sensibles de las organizaciones.
Con el aumento del volumen de ataques de ransomware de alto perfil, los defensores cibernéticos están buscando nuevas formas de defenderse proactivamente contra las amenazas relacionadas e identificar a tiempo la actividad maliciosa. La plataforma de Detección como Código de SOC Prime cura más de 200K de algoritmos de detección únicos adaptados para más de 25 soluciones SIEM, EDR y XDR y que coinciden con las necesidades de contenido específicas de la organización. Detectores ambiciosos e Ingenieros de Detección también pueden enriquecer la experiencia colectiva en ciberseguridad con su propio contenido de detección al unirse a la iniciativa de crowdsourcing de SOC Prime y redactar reglas Sigma y YARA, compartiéndolas con compañeros de la industria y obteniendo recompensas financieras recurrentes por sus contribuciones.
