Новый шифровальщик GwisinLocker атакует как Windows, так и Linux ESXi

Екатерина Быстрова 08 Августа 2022 - 10:45

Домашние пользователи

Программы-шифровальщики

...

Новый шифровальщик GwisinLocker атакует как Windows, так и Linux ESXi

Новое семейство программ-вымогателей, получившее имя “GwisinLocker”, атакует организации сферы здравоохранения, а также промышленный сектор и фармацевтические компании. Вредонос может шифровать, как Windows, так и Linux, включая поддержку серверов VMware ESXi и виртуальных машин.

Автором нового шифровальщика является киберпреступная группировка Gwisin (с корейского переводится как «призрак»). Эксперты не могут с уверенностью сказать, из какой страны эта группировка, однако нет никаких сомнений, что участники хорошо знают корейский язык.

Более того, атаки совпадают с корейскими праздниками и проходят в ранние утренние часы по южнокорейскому времени. Впервые о Gwisin заговорили в прошлом месяце.

Интересно, что Windows-версию шифровальщика разобрали специалисты Ahnlab, а образец вредоноса для Linux описывают в отчете исследователи из компании ReversingLabs.

Когда GwisinLocker атакует Windows, цепочка заражения начинается с запуска инсталляционного файла MSI, которому требуются специальные параметры командной строки для корректной загрузки встроенной DLL. Именно эта библиотека выступает в качестве шифровальщика.

Необходимость запуска с параметрами затрудняет анализ специалистам в области кибербезопасности. Для обхода детектирования антивирусом вредоносная DLL внедряется в системные процессы Windows.

Иногда конфигурация включает параметр, запускающий программу-вымогатель в безопасном режиме. В этом случае вредонос копирует себя в подпапку ProgramData, устанавливается как служба и перезагружается в безопасном режиме.

Linux-версия заточена под шифрование виртуальных машин VMware ESXi. Два параметра командной строки задают режимы шифрования:

-h, —help — отображает справку
-p, --vp — выдает список путей для шифрования (разделены запятой)
-m, --vm — завершает процессы виртуальной машины (если «1», то останавливаются службы, если «2» — процессы)
-s, --vs — время режима сна до шифрования (в секундах)
-z, --sf — пропускает шифрование ESXi-файлов
-d, --sd — самоуничтожение после завершения задачи
-y, --pd — записывает текст в конкретный файл
-t, --tb — входит в цикл, если время Unix равно четырём часам с начала эры Unix (Unix epoch).

Вымогатель также завершает несколько Linux-демонов, а затем активирует шифрование с симметричным ключом AES и SHA256-хешированием.

Интересно, что каждая атака кастомизирована, включая указание имени атакованной компании в записке с требованием выкупа, а также использование уникального расширение, которое добавляется к именам затронутых файлов.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Июня 2026 - 14:45

Общее Средства поиска уязвимостей Bug Bounty Системы для анализа защищенности информационных систем Средства тестирования на проникновение Аудит информационной безопасности Positive Technologies

На Standoff 17 впервые полностью обесточили виртуальное государство

На кибербитве Standoff 17 произошло то, чего за десять лет существования соревнований еще не было. Сразу две команды атакующих смогли полностью отключить энергосистему виртуального Государства F, погрузив цифровую страну во тьму. Соревнования прошли с 16 по 19 июня в московском Кибердоме и собрали 23 команды белых хакеров из России, Казахстана, Монголии, Вьетнама, Индонезии и Нидерландов.

За несколько дней участники реализовали 245 критических событий на киберполигоне, который имитировал инфраструктуру сразу семи отраслей экономики.

Главной сенсацией стала атака команды Dataeli&only_f4st. Хакеры за 20 шагов вывели из строя все электроподстанции виртуального государства. Позже тот же сценарий смогла повторить команда cR4.sh. Для Standoff это исторический результат — раньше подобный масштабный блэкаут никому не удавался.

Самой атакуемой отраслью оказался телеком. Здесь зафиксировали 74 критических события, включая все девять уникальных сценариев атак. А вот ритейл, наоборот, интересовал атакующих заметно меньше — всего семь успешных инцидентов.

Победителем Standoff 17 стала российская команда DreamTeam. В первую пятерку также вошли cR4.sh, FR13NDS & RHACKERS, Cyb7rC0d3# и Dataeli&only_f4st. Общий призовой фонд соревнований составил 50 тысяч долларов.

На стороне защитников выступали девять команд. За время кибербитвы они выявили 551 инцидент, причем 54 из них были обнаружены непосредственно в процессе отражения атак. Лучший результат по количеству обнаруженных инцидентов показала команда ReKad Team, защищавшая железнодорожную инфраструктуру.

Одной из главных новинок Standoff 17 стала цифровая копия инфраструктуры сети «Вкусно — и точка». Атакующим предложили реализовать девять критических сценариев — от создания фальшивых заказов до захвата административных учетных записей. Однако здесь хакеры остались ни с чем: ни одну из поставленных целей выполнить не удалось.

Еще одной важной темой мероприятия стали открытые кибериспытания. Т-Банк объявил о запуске программы, в рамках которой исследователям безопасности предложат до 12 млн рублей за реализацию одного недопустимого события в корпоративной инфраструктуре.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!