FBI, US Cybersecurity and Infrastructure Security Agency (CISA) og finansministeriet advarede onsdag om nordkoreanske statssponserede trusselsaktører rettet mod organisationer i den amerikanske sundheds- og folkesundhedssektor. Angrebene udføres med et noget usædvanligt, manuelt betjent nyt ransomware-værktøj kaldet "Maui."
Siden maj 2021 har der været adskillige hændelser, hvor trusselsaktører, der driver malwaren, har krypterede servere, der er ansvarlige for kritiske sundhedstjenester, herunder diagnostiske tjenester, elektroniske sundhedsjournalservere og billedbehandlingsservere hos organisationer i de målrettede sektorer. I nogle tilfælde forstyrrede Maui-angrebene tjenesterne hos offerorganisationerne i en længere periode, sagde de tre agenturer i en rådgivning.
"De nordkoreanske statssponserede cyberaktører antager sandsynligvis, at sundhedsorganisationer er villige til at betale løsesummer, fordi disse organisationer leverer tjenester, der er kritiske for menneskers liv og sundhed," ifølge rådgivningen. "På grund af denne antagelse vurderer FBI, CISA og finansministeriet nordkoreanske statssponserede aktører vil sandsynligvis fortsætte med at målrette [sundhedspleje og folkesundhed] Sektororganisationer."
Designet til manuel betjening
I en teknisk analyse den 6. juli beskrev sikkerhedsfirmaet Stairwell Maui som ransomware, der er kendt for at mangle funktioner, der almindeligvis er til stede i andre ransomware-værktøjer. Maui, for eksempel, har ikke den sædvanlige indlejrede ransomware-notat med information til ofre om, hvordan de gendannes deres data. Det ser heller ikke ud til at have nogen indbygget funktionalitet til at overføre krypteringsnøgler til hackerne på automatiseret vis.
Malwaren i stedet for vises designet til manuel udførelse, hvor en fjernangriber interagerer med Maui via kommandolinjegrænsefladen og instruerer den i at kryptere udvalgte filer på den inficerede maskine og eksfiltrere nøglerne tilbage til angriberen.
Stairwell sagde, at dets forskere observerede Maui kryptering af filer ved hjælp af en kombination af AES-, RSA- og XOR-krypteringsskemaerne. Hver valgt fil krypteres først ved hjælp af AES med en unik 16-byte nøgle. Maui krypterer derefter hver resulterende AES-nøgle med RSA-kryptering og krypterer derefter den offentlige RSA-nøgle med XOR. Den private RSA-nøgle er kodet ved hjælp af en offentlig nøgle, der er indlejret i selve malwaren.
Silas Cutler, primær reverse engineer hos Stairwell, siger, at designet af Mauis filkrypteringsarbejdsgang er nogenlunde i overensstemmelse med andre moderne ransomware-familier. Det, der virkelig er anderledes, er fraværet af en løsesumseddel.
"Manglen på en indlejret løsepengeseddel med genoprettelsesinstruktioner er en vigtig manglende egenskab, der adskiller den fra andre løsepenge-familier," siger Cutler. "Løsesedler er blevet visitkort for nogle af de store ransomware-grupper [og er] nogle gange præget af deres eget branding." Han siger, at Stairwell stadig undersøger, hvordan trusselsaktøren kommunikerer med ofre, og præcis hvilke krav der stilles.
Sikkerhedsforskere siger, at der er flere grunde til, at trusselsaktøren kan have besluttet at gå den manuelle vej med Maui. Tim McGuffin, direktør for adversarial engineering hos Lares Consulting, siger, at manuelt betjent malware har en bedre chance for at omgå moderne endpoint-beskyttelsesværktøjer og kanariske filer sammenlignet med automatiseret, systemdækkende ransomware.
"Ved at målrette mod specifikke filer kan angriberne vælge, hvad der er følsomt, og hvad der skal eksfiltreres på en meget mere taktisk måde sammenlignet med en 'spray-and-pray'-ransomware," siger McGuffin. "Denne 100% giver en stealth og kirurgisk tilgang til ransomware, der forhindrer forsvarere i at advare om automatiseret ransomware, og gør det sværere at bruge timing eller adfærdsbaserede tilgange til detektion eller respons."
Fra et teknisk synspunkt bruger Maui ikke nogen sofistikerede midler til at undgå opdagelse, siger Cutler. Det, der kan gøre det yderligere problematisk for detektion, er dets lave profil.
"Manglen på den almindelige ransomware-teatrik - [såsom] løsesumsedler [og] ændring af brugerbaggrund - kan resultere i, at brugere ikke umiddelbart er klar over, at deres filer er blevet krypteret," siger han.
Er Maui en rød sild?
Aaron Turner, CTO hos Vectra, siger, at trusselsaktørens brug af Maui på en manuel og selektiv måde kan være en indikation af, at der er andre motiver bag kampagnen end blot økonomisk gevinst. Hvis Nordkorea virkelig sponsorerer disse angreb, er det tænkeligt, at ransomware kun er en eftertanke, og at de virkelige motiver ligger andre steder.
Specifikt er det højst sandsynligt en kombination af tyveri af intellektuel ejendom eller industriel spionage kombineret med opportunistisk indtægtsgenerering af angreb med ransomware.
"Efter min mening er denne brug af operatørdrevet selektiv kryptering højst sandsynligt en indikator for, at Maui-kampagnen ikke kun er en ransomware-aktivitet," siger Turner.
Operatørerne af Maui ville bestemt ikke være de første til at bruge ransomware som dækning for IP-tyveri og andre aktiviteter. Det seneste eksempel på en anden angriber, der gør det samme, er Kina-baserede Bronze Starlight, som ifølge Secureworks ser ud til at være bruge ransomware som dækning for omfattende regeringssponseret IP-tyveri og cyberspionage.
Forskere siger, at sundhedsorganisationer bør investere i en solid backup-strategi for at beskytte sig selv. Strategien skal omfatte hyppige, mindst månedlige, gendannelsestests for at sikre, at sikkerhedskopierne er levedygtige, ifølge Avishai Avivi, CISO hos SafeBreach
"Sundhedsorganisationer bør også tage alle forholdsregler for at segmentere deres netværk og isolere miljøer for at forhindre lateral spredning af ransomware," bemærker Avivi i en e-mail. "Disse grundlæggende cyber-hygiejne-trin er en meget bedre vej for organisationer, der forbereder sig på et ransomware-angreb [end at lagre Bitcoins for at betale en løsesum]. Vi ser stadig, at organisationer undlader at tage de nævnte grundlæggende skridt. … Dette betyder desværre, at når (ikke hvis) ransomware kommer forbi deres sikkerhedskontrol, vil de ikke have en ordentlig backup, og den ondsindede software vil være i stand til at spredes sideværts gennem organisationens netværk.”
Stairwell har også udgivet YARA-regler og værktøjer, som andre kan bruge til at udvikle registreringer til Maui-ransomwaren.
