新たなランサムウェア「グイジンロッカー」は、ウィンドウズおよびリナックスのESXiサーバーを標的として暗号化が可能

今週、オンラブとリザービングラブのサイバーセキュリティ研究者は、「グイジンロッカー」と呼ばれる新しいランサムウェアファミリーに関するレポートを発表しました。このランサムウェアは、ウィンドウズとリナックスの暗号化ツールを使用して、韓国の医療、産業、製薬会社をターゲットにしていることが確認されています。また、これらの暗号化プログラムは、VMware ESXiサーバーと仮想マシンの暗号化をサポートし、SHA256ハッシュを使用したAES対称鍵暗号を使用してターゲットのデバイスを暗号化することが報告されています。 この新しいランサムウェアは、韓国語で「幽霊」を意味する「グイジン」と呼ばれる、あまり知られていない製品です。この脅威アクターの出自は不明ですが、韓国語に精通しているようです。さらに、攻撃が一般的に韓国の祝日と重なり、早朝の時間帯に発生していることから、南朝鮮の文化や企業に関する知識を持っていることが分かります。 ウィンドウズデバイスを暗号化する場合、感染はMSIインストーラファイルの実行から始まり、ランサムウェアの暗号化器として機能する埋め込みDLLを適切にロードするために、特別なコマンドライン引数を必要とします。 リナックスデバイスの場合、暗号化装置はVMware ESXi仮想マシンの暗号化に強く焦点を当てており、リナックス暗号化装置が仮想マシンを暗号化する方法を制御する2つのコマンドライン引数が含まれています。