Новый шифровальщик GwisinLocker атакует как Windows, так и Linux ESXi

Екатерина Быстрова 08 Августа 2022 - 10:45

Домашние пользователи

...

Новое семейство программ-вымогателей, получившее имя “GwisinLocker”, атакует организации сферы здравоохранения, а также промышленный сектор и фармацевтические компании. Вредонос может шифровать, как Windows, так и Linux, включая поддержку серверов VMware ESXi и виртуальных машин.

Автором нового шифровальщика является киберпреступная группировка Gwisin (с корейского переводится как «призрак»). Эксперты не могут с уверенностью сказать, из какой страны эта группировка, однако нет никаких сомнений, что участники хорошо знают корейский язык.

Более того, атаки совпадают с корейскими праздниками и проходят в ранние утренние часы по южнокорейскому времени. Впервые о Gwisin заговорили в прошлом месяце.

Интересно, что Windows-версию шифровальщика разобрали специалисты Ahnlab, а образец вредоноса для Linux описывают в отчете исследователи из компании ReversingLabs.

Когда GwisinLocker атакует Windows, цепочка заражения начинается с запуска инсталляционного файла MSI, которому требуются специальные параметры командной строки для корректной загрузки встроенной DLL. Именно эта библиотека выступает в качестве шифровальщика.

Необходимость запуска с параметрами затрудняет анализ специалистам в области кибербезопасности. Для обхода детектирования антивирусом вредоносная DLL внедряется в системные процессы Windows.

Иногда конфигурация включает параметр, запускающий программу-вымогатель в безопасном режиме. В этом случае вредонос копирует себя в подпапку ProgramData, устанавливается как служба и перезагружается в безопасном режиме.

Linux-версия заточена под шифрование виртуальных машин VMware ESXi. Два параметра командной строки задают режимы шифрования:

-h, —help — отображает справку
-p, --vp — выдает список путей для шифрования (разделены запятой)
-m, --vm — завершает процессы виртуальной машины (если «1», то останавливаются службы, если «2» — процессы)
-s, --vs — время режима сна до шифрования (в секундах)
-z, --sf — пропускает шифрование ESXi-файлов
-d, --sd — самоуничтожение после завершения задачи
-y, --pd — записывает текст в конкретный файл
-t, --tb — входит в цикл, если время Unix равно четырём часам с начала эры Unix (Unix epoch).

Вымогатель также завершает несколько Linux-демонов, а затем активирует шифрование с симметричным ключом AES и SHA256-хешированием.

Интересно, что каждая атака кастомизирована, включая указание имени атакованной компании в записке с требованием выкупа, а также использование уникального расширение, которое добавляется к именам затронутых файлов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 17 Июня 2025 - 18:01

Уязвимости программ Домашние пользователи Корпорации

Уязвимость в ASUS Armoury Crate позволяет повысить Windows-права до SYSTEM

Эксперт Cisco Talos выявил в Armoury Crate разработки ASUS уязвимость обхода авторизации, грозящую полной компрометацией Windows. Пользователям рекомендуется обновить софт до последней доступной версии.

Уязвимость CVE-2025-3464 возникла из-за возможности ошибки «состояние гонки» вида Time-of-Check Time-of-Use (TOCTOU). Степень опасности автор находки оценил в 8,8 балла CVSS, ASUS — в 8,4 балла.

Виновником появления проблемы является реализованный в Armoury Crate механизм ограничения доступа к AsIO3.sys — драйверу ядра, который приложение использует для централизованного управления игровыми продуктами ROG.

Проверка привилегий процессов при обращении осуществляется по вшитому хешу SHA-256 файла AsusCertService.exe и по белому списку PID. Исследователь обнаружил, что подобную авторизацию можно обойти с помощью жесткой ссылки.

Для проверки концепции эксплойта в Cisco Talos создали и внедрили в систему кастомное приложение (TestCon2.exe), запустили его, а затем приостановили и изменили ссылку таким образом, чтобы она указывала на AsusCertService.exe.

В результате, когда TestCon2.exe возобновил работу, введенный в заблуждение охранник выдал искомое разрешение, открывающее доступ к физической памяти, портам ввода-вывода, модельно-зависимым регистрам процессора (MSR).

Уязвимость CVE-2025-3464 была обнаружена в Armoury Crate 5.9.13.0. В бюллетене ASUS от 16 июня отмечено, что ей подвержены все версии софта с 5.9.9.0 по 6.1.18.0 включительно.

Данных об использовании этой лазейки в атаках пока нет. Установить последнее обновление Armoury Crate можно через настройки приложения (Настройки > Центр обновлений > Проверить наличие обновлений > Обновить).

Ошибки драйвера ядра Windows, позволяющие повысить привилегии, пользуются популярностью у киберкриминала. Для защиты своих ОС от подобных эксплойтов Microsoft реализовала специальный механизм блокировки — WDAC, который проверяет загружаемые драйверы по списку известных уязвимостей.