Los investigadores de ReversingLabs descubrieron una nueva familia de ransomware dirigida a sistemas basados en Linux en Corea del Sur.

Apodado GwisinLocker, el malware fue detectado por ReversingLabs el 19 de julio mientras realizaba campañas exitosas dirigidas a empresas en el espacio industrial y farmacéutico.

“En esos incidentes, a menudo lanzaba ataques en días festivos y durante las primeras horas de la mañana (hora coreana), buscando aprovechar los períodos en los que se relajaba la dotación de personal y la supervisión dentro de los entornos objetivo”, escribió ReversingLabs en un aviso publicado el jueves.

En el documento, la compañía afirmó que GwisinLocker es una nueva variante de malware creada por un actor de amenazas (TA) previamente poco conocido llamado "Gwisin" (un término coreano para "fantasma" o "espíritu").

“En las comunicaciones con sus víctimas, el grupo Gwisin afirma tener un conocimiento profundo de su red y afirma que exfiltró datos para extorsionar a la empresa”, dijo ReversingLabs.

Además, las notas de rescate asociadas con GwisinLocker.Linux contenían información interna detallada del entorno comprometido y los archivos cifrados usaban extensiones de archivo personalizadas para usar el nombre de la empresa víctima. 

Con respecto a los detalles del sistema de pago detrás del ransomware, ReversingLabs dijo que las víctimas de GwisinLocker.Linux deben iniciar sesión en un portal operado por el grupo y establecer canales de comunicación privados para completar los pagos del rescate. 

"Como resultado, se sabe poco sobre el método de pago utilizado y/o las billeteras de criptomonedas asociadas con el grupo".

Debido a la familiaridad con el idioma coreano, así como con el gobierno de Corea del Sur y las fuerzas del orden, ReversingLabs dijo que Gwisin puede ser un grupo de amenaza persistente avanzada (APT) vinculado a Corea del Norte .

“Esta amenaza debería preocupar especialmente a las empresas industriales y farmacéuticas de Corea del Sur, que representan la mayor parte de las víctimas de Gwisin hasta la fecha”, explicó ReversingLabs.

“Sin embargo, es razonable suponer que este actor de amenazas puede expandir sus campañas a organizaciones en otros sectores, o incluso fuera de Corea del Sur”.

Los investigadores de seguridad concluyeron el aviso advirtiendo a las empresas relacionadas con GwisinLocker que revisen los Indicadores de Compromiso en el informe y los pongan a disposición de los equipos de caza de amenazas internos o externos.