Investigadores de seguridad han encontrado una nueva variante de ransomware que tiene por objetivo organizaciones no gubernamentales de Corea del Sur, concretamente, aquellas del sector farmacéutico, sanitario e industrial. Se le vincula con algunos ataques realizados contra compañías farmacéuticas en días festivos recientes.
AhnLab Security Emergency Response Center ha denominado a la variante como "Gwisin". Este término es una palabra que en coreano significa una clase de fantasma.
Lo cierto es que los investigadores se muestran algo desconcertados y todavía no han podido establecer una metodología de ataque estandarizada para el ransomware.
Los actores de amenazas enviarían manualmente a Gwisin a los objetivos, a diferencia de lo que ocurriría con algunas cepas de malware. Así, la naturaleza especializada de cada ataque sugiere que los ciberdelincuentes se sirven de un vector distinto para cada víctima. Lo que hacen es variar el método para que se adapte mejor a cada sistema.
Esta personalización hace que la amenaza sea más escurridiza. La motivación de su actor o actores de amenazas resulta más difícil de predecir y también es más complicado protegerse del ransomware.
Un ransomware que hace honor a su nombre
Según recoge ITPro de lo que sí hay constancia es que Gwisin se distribuye en forma de un archivo de instalación de software de Microsoft (MSI), que luego se utiliza para secuestrar la biblioteca de vínculos dinámicos (DLL) con fines de cifrado. Este es un proceso común en el ransomware que se puede mitigar .
Pero lo que acrecenta la dificultad para los investigadores es el hecho de que el archivo MSI de Gwisin no se ejecutará a menos que sus actores de amenazas le den un valor específico. Como resultado, ha sido difícil replicar sus efectos en un entorno de laboratorio, y es posible que los administradores de sistemas no puedan identificar el archivo malicioso hasta que se haya activado.
Ahnlab incluso podría ser capaz de realizar un reinicio forzado de los sistemas infectados para permitir operaciones en modo seguro. La firma ha encontrado que antes del proceso de infección las herramientas antimalware usadas por las organizaciones atacas estaban desactivadas.
Una vez que los archivos habrían sido cifrados, Gwisin se encarga de cambiar sus extensiones de archivo a los de la empresa objetivo.
Como suele ocurrir en los ataques de ransomware, tras ser cifrados, se crea un archivo tipo nota con las demandas de rescate. Dentro de este se listarían los archivos y contactos que han sido sustraídos.
Los investigadores advierten a todas las organizaciones del sector público de Corea que extremen las precauciones y sigan las mejores prácticas de seguridad de todas las redes corporativas. Los vectores de ataque desconocidos y la aparente adaptación de la estrategia víctima a víctima dificultan la mitigación contra Gwisin.