Detecção de Gwisin: Atores de Ameaças Espalham Ransomware Gwisin Alvejando Empresas Coreanas
Índice:
O ransomware Gwisin está aumentando atualmente no cenário de ameaças cibernéticas, visando empresas coreanas em diversos setores. Atribuído a agentes de ameaça de fala coreana, o ransomware Gwisin é usado em ataques direcionados a organizações específicas em vez de indivíduos aleatórios e não executa comportamentos maliciosos por si só, o que torna sua detecção mais difícil. O ransomware é distribuído no formato de arquivo do instalador MSI e aplica comportamentos diversos para espalhar a infecção, que diferem para cada organização comprometida.
Detectar Ransomware Gwisin
A comunidade de cibersegurança enfrenta continuamente o desafio causado pelo aumento de ataques de ransomware de alto perfil, acelerando não apenas em termos de volumes e vetores, mas também em termos de impacto e velocidade. Para ajudar os profissionais de segurança a detectar proativamente atividades maliciosas associadas ao ransomware Gwisin, nosso desenvolvedor dedicado do Threat Bounty, Onur Atali lançou uma regra Sigma dedicada.
Possível Execução de Ransomware Gwisin por Detecção de Comandos Associados (via cmdline)
A regra oferece suporte para traduções para 23 formatos de SIEM, EDR e XDR e está alinhada com o framework MITRE ATT&CK v.10. abordando as táticas de Execução e Impacto com Comando e Interpretador de Scripts (T1059), Execução por Usuário (T1204), Dados Criptografados para Impacto (T1486) e Limpeza de Disco (T1561) como técnicas principais.
Entusiasmado para se juntar à defesa cibernética colaborativa e ajudar a comunidade de cibersegurança a resistir às ameaças emergentes? Junte-se ao Programa Threat Bounty da SOC Prime, envie suas próprias regras Sigma e receba recompensas recorrentes enquanto contribui para um futuro cibernético mais seguro! Em vista da crescente ameaça de ransomware, Caçadores de Ameaças e Analistas de SOC precisam de abordagens inovadoras de detecção de ameaças para reagir rapidamente a um número crescente de incidentes de segurança, filtrar o ruído e obter melhor visibilidade da superfície de ataque. Usuários cadastrados na plataforma SOC Prime podem acessar o maior pool de algoritmos de detecção para buscar várias ameaças de ransomware pressionando o botão Detectar & Caçar . Usuários não registrados podem acessar o kit de regras relacionadas a ransomware e todos os metadados relevantes, incluindo referências MITRE ATT&CK e links CTI, pressionando o botão Explorar Contexto de Ameaça .
Detectar & Caçar Explorar Contexto de Ameaça
Análise do Ransomware Gwisin
De acordo com o Relatório de Inovação Detection as Code da SOC Prime 2021, os ataques de ransomware continuam a ser a tendência crescente em 2021-2022, com o aumento da sofisticação das intrusões e um número continuamente crescente de operadores de ransomware. O ransomware Gwisin está atualmente em ascensão, atribuído à atividade adversária dos operadores de malware de mesmo nome, com um alto domínio do idioma coreano. Entre as características mais comuns do Gwisin estão sua capacidade de realizar comportamentos maliciosos ao ser injetado em um processo do sistema Windows, a capacidade do ransomware de incluir informações sobre a empresa comprometida dentro do arquivo DLL interno exibido na nota de resgate e seu suporte para funcionalidades sofisticadas de criptografar arquivos em modo de segurança.
Agentes de ameaça espalhando malware denominado Gwisin, que significa ‘fantasma’ em coreano, também são conhecidos por espalhar uma nova família de ransomware chamada GwisinLocker, visando proeminentes empresas coreanas dos setores de saúde, industrial e farmacêutico e capaz de criptografar servidores Windows e Linux ESXi. Nesses ataques, o ransomware aplica o formato de arquivo do instalador MSI e utiliza um valor de argumento para executar o arquivo DLL incluído no MSI. O uso de argumentos de linha de comando torna mais difícil para os defensores cibernéticos detectarem e analisarem as amostras de ransomware.
Além de ataques de ransomware em sistemas Windows, pesquisadores da ReversingLabs também revelaram a versão do malware GwisinLocker direcionada a sistemas baseados em Linux. De acordo com a pesquisa realizada, os operadores de ransomware Gwisin tentam assumir o controle de hosts Linux e interagir com máquinas virtuais VMWare ESXI enquanto realizam ataques de dupla extorsão projetados para roubar dados sensíveis das organizações.
Com o aumento dos volumes de ataques de ransomware de alto perfil, os defensores cibernéticos estão buscando novas maneiras de defender proativamente contra as ameaças relacionadas e identificar em tempo hábil a atividade maliciosa. A plataforma Detection as Code da SOC Prime curate mais de 200 mil algoritmos de detecção exclusivos adaptados para mais de 25 soluções de SIEM, EDR e XDR e atendendo às necessidades de conteúdo específicas das organizações. Engenheiros de Detecção ambiciosos e Caçadores de Ameaças também podem enriquecer a expertise coletiva em cibersegurança com seu próprio conteúdo de detecção ao se juntarem à iniciativa de crowdsourcing da SOC Prime e criarem regras Sigma e YARA, compartilhando-as com colegas da indústria e obtendo recompensas financeiras recorrentes por suas contribuições.
