Rilevamento di Gwisin: Attori delle minacce diffondono ransomware Gwisin mirato a aziende coreane
Indice:
L’aumento del ransomware Gwisin che prende di mira aziende coreane in vari settori è attualmente in aumento nell’arena delle minacce informatiche. Attribuito ad attori minaccia di lingua coreana, il ransomware Gwisin è impiegato in attacchi mirati a organizzazioni specifiche piuttosto che a individui casuali e non compie comportamenti malevoli di per sé, il che rende più difficile la sua rilevazione. Il ransomware si diffonde nel formato di file dell’installatore MSI e applica comportamenti diversi per diffondere l’infezione che variano per ogni organizzazione compromessa.
Rilevare il Ransomware Gwisin
La comunità della sicurezza informatica affronta continuamente la sfida causata dall’aumento degli attacchi ransomware di alto profilo che accelerano non solo in termini di volumi e vettori, ma anche in termini di impatto e velocità. Per aiutare i professionisti della sicurezza a rilevare proattivamente attività malevole associate al ransomware Gwisin, il nostro esperto sviluppatore di Threat Bounty Onur Atali ha rilasciato una regola Sigma dedicata.
Possibile Esecuzione del Ransomware Gwisin rilevando Comandi Associati (via cmdline)
La regola supporta traduzioni in 23 formati SIEM, EDR e XDR ed è allineata con il framework MITRE ATT&CK v.10 affrontando le tattiche di Esecuzione e Impatto con Command and Scripting Interpreter (T1059), User Execution (T1204), Data Encrypted for Impact (T1486), e Disk Wipe (T1561) come tecniche principali.
Sei entusiasta di unirti alla difesa informatica collaborativa e aiutare la comunità di cybersecurity a resistere alle minacce emergenti? Unisciti al Programma Threat Bounty di SOC Prime, invia le tue regole Sigma e ottieni premi ricorrenti contribuendo a un futuro più sicuro nel cyber! Data la crescente minaccia ransomware, i Cacciatori di Minacce e gli Analisti SOC richiedono approcci innovativi per la rilevazione delle minacce per reagire tempestivamente a un numero crescente di incidenti di sicurezza, tagliare attraverso il rumore e ottenere una migliore visibilità sulla superficie d’attacco. Gli utenti registrati della piattaforma SOC Prime possono accedere al più grande pool di algoritmi di rilevazione per cercare varie minacce ransomware premendo il pulsante Rileva & Caccia . Gli utenti non registrati possono accedere al kit di regole relativo al ransomware e a tutti i metadati pertinenti, incluse le referenze MITRE ATT&CK e i collegamenti CTI premendo il pulsante Esplora Contesto Minacce .
Rileva & Caccia Esplora Contesto Minacce
Analisi del Ransomware Gwisin
Secondo il Rapporto 2021 sull’Innovazione Detection as Code di SOC Prime, gli attacchi ransomware continuano ad essere una tendenza in crescita nel 2021-2022 con la crescente sofisticazione delle intrusioni e un numero sempre in aumento di operatori di ransomware. Il ransomware Gwisin che attacca aziende coreane è attualmente in aumento, attribuito all’attività avversaria degli operatori malware omonimi con una grande padronanza della lingua coreana. Tra le caratteristiche più comuni di Gwisin ci sono la sua capacità di compiere comportamenti malevoli essendo iniettato in un processo di sistema Windows, la capacità del ransomware di includere informazioni sull’azienda compromessa all’interno del file DLL interno mostrato nella nota di riscatto, e il suo supporto per funzionalità sofisticate per crittografare i file in modalità sicura.
Gli attori minaccia che diffondono il malware chiamato Gwisin, che significa “fantasma” in coreano, sono anche noti per diffondere una nuova famiglia di ransomware chiamata GwisinLocker che prende di mira aziende costituite della sanità, industriali e farmaceutiche sudcoreane di rilievo e capace di crittografare server Windows e Linux ESXi. In questi attacchi, il ransomware applica il formato di file dell’installatore MSI e sfrutta un valore di argomento per eseguire il file DLL incluso nel MSI. L’uso di argomenti da riga di comando rende più difficile per i difensori informatici rilevare e analizzare i campioni di ransomware.
Oltre agli attacchi ransomware sui sistemi Windows, i ricercatori di ReversingLabs hanno anche rivelato la versione malware GwisinLocker che prende di mira i sistemi basati su Linux. Secondo la ricerca condotta, gli operatori del ransomware Gwisin tentano di prendere il controllo degli host Linux e interagire con le macchine virtuali VMWare ESXI mentre effettuano attacchi di doppia estorsione progettati per rubare dati sensibili delle organizzazioni.
Con l’aumento del volume degli attacchi ransomware di alto profilo, i difensori informatici stanno cercando nuovi modi per difendersi proattivamente contro le minacce correlate e identificare tempestivamente le attività malevole. La piattaforma Detection as Code di SOC Prime curano oltre 200.000 algoritmi di rilevazione unici progettati per oltre 25 soluzioni SIEM, EDR e XDR e corrispondenti alle specifiche esigenze di contenuto di un’organizzazione. Ambiziosi Ingegneri di Rilevamento e Cacciatori di Minacce possono anche arricchire l’esperienza collettiva di cybersecurity con il proprio contenuto di rilevazione unendosi alla iniziativa di crowdsourcing di SOC Prime e creando regole Sigma e YARA, condividendole con i colleghi del settore e ottenendo ricompense economiche ricorrenti per i loro contributi.
