Détection de Gwisin : Des acteurs menaçants propagent le ransomware Gwisin ciblant les entreprises coréennes
Table des matières :
Le ransomware Gwisin, ciblant les entreprises coréennes dans divers secteurs, est actuellement en augmentation dans le domaine des menaces cybernétiques. Attribué aux acteurs de la menace parlant coréen, le ransomware Gwisin est utilisé dans des attaques ciblées sur des organisations spécifiques et non sur des individus aléatoires, et ne se comporte pas de manière malveillante par lui-même, ce qui rend sa détection plus difficile. Le ransomware est diffusé au format de fichier d’installation MSI et applique divers comportements pour propager l’infection, qui diffèrent pour chaque organisation compromise.
Détecter le ransomware Gwisin
La communauté de la cybersécurité est continuellement confrontée au défi posé par l’escalade des attaques de ransomware de haut profil qui accélèrent non seulement en termes de volumes et de vecteurs, mais également en termes de leur impact et de leur vitesse. Pour aider les praticiens de la sécurité à détecter proactivement l’activité malveillante associée au ransomware Gwisin, notre développeur enthousiaste Threat Bounty Onur Atali a publié une règle Sigma dédiée.
Exécution possible du ransomware Gwisin par la détection des commandes associées (via cmdline)
La règle prend en charge les traductions vers 23 formats SIEM, EDR et XDR et est alignée avec le cadre MITRE ATT&CK v.10. abordant les tactiques d’Exécution et d’Impact avec l’Interpréteur de commandes et de scripts (T1059), Exécution par l’utilisateur (T1204), Données chiffrées pour l’impact (T1486), et Effacement de Disque (T1561) comme principales techniques.
Enthousiaste à l’idée de rejoindre la défense cyber collaborative et d’aider la communauté de la cybersécurité à résister aux menaces émergentes ? Rejoignez le programme Threat Bounty de SOC Prime, soumettez vos propres règles Sigma, et obtenez des récompenses récurrentes tout en contribuant à un avenir plus sûr dans le cyberespace ! Face à la menace croissante des ransomwares, les chasseurs de menaces et les analystes SOC ont besoin d’approches de détection des menaces innovantes pour réagir à temps à un nombre croissant d’incidents de sécurité, réduire le bruit, et obtenir une meilleure visibilité de la surface d’attaque. Les utilisateurs enregistrés de la plateforme SOC Prime peuvent accéder au plus grand bassin d’algorithmes de détection pour rechercher diverses menaces de ransomware en appuyant sur le bouton Détecter & Chasser . Les utilisateurs non enregistrés peuvent accéder au kit de règles liées aux ransomwares et à toutes les métadonnées pertinentes, y compris les références MITRE ATT&CK et les liens CTI en appuyant sur le bouton Explorer le Contexte de Menace .
Détecter & Chasser Explorer le Contexte de Menace
Analyse du Ransomware Gwisin
Selon le Rapport d’Innovation Détection en tant que Code 2021 de SOC Prime, les attaques de ransomware continuent d’être une tendance croissante en 2021-2022 avec la sophistication croissante des intrusions et un nombre constamment croissant d’opérateurs de ransomware. Le ransomware Gwisin attaquant des entreprises coréennes est actuellement en hausse, attribué à l’activité des adversaires des opérateurs de logiciels malveillants portant le même nom avec une maîtrise élevée de la langue coréenne. Parmi les caractéristiques les plus courantes de Gwisin figurent sa capacité à se comporter de manière malveillante en étant injecté dans un processus système Windows, la capacité du ransomware à inclure des informations sur l’entreprise compromise dans le fichier DLL interne affiché dans la note de rançon, et son soutien pour une fonctionnalité sophistiquée pour chiffrer les fichiers en mode sans échec.
Les acteurs de la menace diffusant des malwares appelés Gwisin, qui signifie « fantôme » en coréen, sont également connus pour propager une nouvelle famille de ransomware nommée GwisinLocker ciblant les grandes entreprises sud-coréennes de la santé, de l’industrie et de la pharmacie et capables de chiffrer les serveurs Windows et Linux ESXi. Dans ces attaques, le ransomware utilise le format de fichier d’installation MSI et utilise une valeur d’argument pour exécuter le fichier DLL inclus dans le MSI. L’utilisation d’arguments en ligne de commande rend plus difficile la détection et l’analyse des échantillons de ransomware par les défenseurs cybernétiques.
En plus des attaques de ransomware sur les systèmes Windows, les chercheurs de ReversingLabs ont également révélé la version du malware GwisinLocker ciblant les systèmes basés sur Linux. Selon les recherches menées, les opérateurs de ransomware Gwisin tentent de prendre le contrôle des hôtes Linux et d’interagir avec les machines virtuelles VMWare ESXI tout en réalisant des attaques de double extorsion conçues pour voler les données sensibles des organisations.
Avec l’augmentation du volume des attaques de ransomware de haut profil, les défenseurs cybernétiques cherchent de nouvelles façons de se défendre proactivement contre les menaces associées et d’identifier à temps l’activité malveillante. La plateforme Détection en tant que Code de SOC Prime conserve plus de 200 000 algorithmes de détection uniques adaptés pour 25+ solutions SIEM, EDR, et XDR et correspondant aux besoins spécifiques de contenu des organisations. Les ingénieurs de détection ambitieux et les chasseurs de menaces peuvent également enrichir l’expertise collective en cybersécurité avec leur propre contenu de détection en rejoignant l’initiative de crowdsourcing de SOC Prime et en rédigeant des règles Sigma et YARA, en les partageant avec les pairs de l’industrie, et en obtenant des récompenses financières récurrentes pour leurs contributions.
