Resumen: Una nueva variante de ransomware se dirige a los servidores ESXi basados en Linux y Windows.
Los analistas de ciberseguridad de ReversingLabs han descubierto un grupo ransomware que compromete los servidores pertenecientes a empresas del sector industrial y farmacéutico.
GwisinLocker, además de ser una variante completamente nueva, está especialmente diseñado para atacar sistemas Linux de código abierto.
No obstante, su explotación adecuada le permitiría a los actores de la amenaza cifrar inclusive los servidores virtuales de VMware ESXi.
Hasta ahora, el ransomware se ha desplegado únicamente contra empresas surcoreanas; pero los investigadores creen que es solo cuestión de tiempo para que se dirija a organizaciones alrededor de todo el mundo.
Para cifrar a sus víctimas, GwisinLocker encripta el dispositivo objetivo con el uso de un archivo MSI.
El archivo posee una DLL incrustada que actúa como encriptador y necesita de ciertos argumentos de línea de comandos para cargar correctamente el ransomware.
La DLL es capaz de evadir su detección, siempre y cuando se hayan suministrado correctamente los argumentos de línea de comandos.
De acuerdo con los investigadores, el objetivo principal de esta amenaza son los dispositivos ESXi, por lo tanto, el encriptador incluye dos argumentos de línea de comandos que están específicamente diseñados para estas máquinas virtuales.
Finalmente, el análisis del malware destaca que cada encriptador se personaliza individualmente para cada uno de los sistemas operativos a los que se dirige. Características de la personalización del ransomware: La nota de rescate lleva el nombre de la víctima Los nombres de los archivos cifrados incluyen una extensión única Las notas advierten no ponerse en contacto con ninguna autoridad
Dicho esto, se le insta a todas las organizaciones a tomar las medidas necesarias para mitigar cualquier posible ataque de GwisinLocker.
Recomendaciones: Medidas para prevenir un ataque ransomware Hacer copias de seguridad Mantener el software parcheado y actualizado Evitar darle click a correos electrónicos sospechosos Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro. Referencias: https://cybersecuritynews.com/gwisinlocker-new-ransomware/ |
SÍGUENOS