Das FBI, die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Finanzministerium warnten am Mittwoch vor staatlich geförderten nordkoreanischen Bedrohungsakteuren, die es auf Organisationen im US-amerikanischen Gesundheits- und öffentlichen Gesundheitssektor abgesehen haben. Die Angriffe werden mit einem etwas ungewöhnlichen, manuell bedienten neuen Ransomware-Tool namens „Maui“ durchgeführt.
Seit Mai 2021 kam es zu mehreren Vorfällen, bei denen Bedrohungsakteure, die die Malware betreiben, Server verschlüsselt haben, die für wichtige Gesundheitsdienste verantwortlich sind, darunter Diagnosedienste, Server für elektronische Gesundheitsakten und Bildserver bei Organisationen in den angegriffenen Sektoren. In einigen Fällen hätten die Angriffe auf Maui die Dienste der Opferorganisationen über einen längeren Zeitraum hinweg unterbrochen, erklärten die drei Behörden in einer Stellungnahme.
„Die staatlich geförderten nordkoreanischen Cyber-Akteure gehen wahrscheinlich davon aus, dass Gesundheitsorganisationen bereit sind, Lösegeld zu zahlen, weil diese Organisationen Dienstleistungen erbringen, die für das Leben und die Gesundheit von Menschen von entscheidender Bedeutung sind“, heißt es in der Stellungnahme. „Aufgrund dieser Annahme bewerten das FBI, das CISA und das Finanzministerium staatlich geförderte nordkoreanische Akteure werden wahrscheinlich weiterhin zielgerichtet sein [Gesundheitswesen und öffentliche Gesundheit] Sektororganisationen.“
Konzipiert für den manuellen Betrieb
In einer technischen Analyse vom 6. Juli beschrieb das Sicherheitsunternehmen Stairwell Maui als Ransomware, die sich durch das Fehlen von Funktionen auszeichnet, die in anderen Ransomware-Tools häufig vorhanden sind. Maui verfügt beispielsweise nicht über den üblichen eingebetteten Ransomware-Hinweis mit Informationen für Opfer, wie sie ihre Daten wiederherstellen können. Es scheint auch keine integrierte Funktion zur automatisierten Übermittlung von Verschlüsselungsschlüsseln an die Hacker zu haben.
Stattdessen die Malware scheint für die manuelle Ausführung konzipiert zu seinDabei interagiert ein Remote-Angreifer über die Befehlszeilenschnittstelle mit Maui und weist es an, ausgewählte Dateien auf dem infizierten Computer zu verschlüsseln und die Schlüssel an den Angreifer zurückzuschleusen.
Stairwell sagte, seine Forscher hätten beobachtet, wie Maui Dateien mit einer Kombination aus den Verschlüsselungsschemata AES, RSA und XOR verschlüsselte. Jede ausgewählte Datei wird zunächst mit AES mit einem eindeutigen 16-Byte-Schlüssel verschlüsselt. Maui verschlüsselt dann jeden resultierenden AES-Schlüssel mit RSA-Verschlüsselung und verschlüsselt dann den öffentlichen RSA-Schlüssel mit XOR. Der private RSA-Schlüssel wird mithilfe eines öffentlichen Schlüssels verschlüsselt, der in die Malware selbst eingebettet ist.
Silas Cutler, leitender Reverse Engineer bei Stairwell, sagt, dass das Design des Dateiverschlüsselungs-Workflows von Maui ziemlich konsistent mit dem anderer moderner Ransomware-Familien ist. Was wirklich anders ist, ist das Fehlen einer Lösegeldforderung.
„Das Fehlen einer eingebetteten Lösegeldforderung mit Anweisungen zur Wiederherstellung ist ein wichtiges fehlendes Merkmal, das sie von anderen Ransomware-Familien unterscheidet“, sagt Cutler. „Lösegeldscheine sind für einige der großen Ransomware-Gruppen zu Visitenkarten geworden [und werden] manchmal mit ihrem eigenen Branding versehen.“ Er sagt, Stairwell untersuche immer noch, wie der Bedrohungsakteur mit den Opfern kommuniziere und welche Forderungen genau gestellt würden.
Sicherheitsforscher sagen, dass es mehrere Gründe dafür gibt, warum sich der Bedrohungsakteur bei Maui für den manuellen Weg entschieden haben könnte. Tim McGuffin, Director of Adversarial Engineering bei Lares Consulting, sagt, dass manuell betriebene Malware im Vergleich zu automatisierter, systemweiter Ransomware eine bessere Chance hat, moderne Endpoint-Schutztools und Canary-Dateien zu umgehen.
„Indem die Angreifer auf bestimmte Dateien abzielen, können sie im Vergleich zu einer „Spray-and-Pray“-Ransomware viel taktischer auswählen, was sensibel ist und was sie exfiltrieren wollen“, sagt McGuffin. „Dies bietet zu 100 % einen heimlichen und chirurgischen Ansatz zur Bekämpfung von Ransomware und verhindert, dass Verteidiger auf automatisierte Ransomware aufmerksam werden was die Verwendung erschwert Timing- oder verhaltensbasierte Ansätze zur Erkennung oder Reaktion.“
Aus technischer Sicht setzt Maui keine hochentwickelten Mittel ein, um einer Entdeckung zu entgehen, sagt Cutler. Was die Erkennung zusätzlich erschweren könnte, ist sein niedriges Profil.
„Das Fehlen der üblichen Ransomware-Theatralik – [wie] Lösegeldforderungen [und] sich ändernde Benutzerhintergründe – kann dazu führen, dass Benutzer nicht sofort bemerken, dass ihre Dateien verschlüsselt wurden“, sagt er.
Ist Maui ein Ablenkungsmanöver?
Aaron Turner, CTO bei Vectra, sagt, dass der manuelle und selektive Einsatz von Maui durch den Bedrohungsakteur ein Hinweis darauf sein könnte, dass hinter der Kampagne andere Motive als nur finanzieller Gewinn stecken. Wenn Nordkorea diese Angriffe wirklich finanziert, ist es denkbar, dass Ransomware nur ein nachträglicher Einfall ist und die wahren Motive woanders liegen.
Konkret handelt es sich höchstwahrscheinlich um eine Kombination aus Diebstahl geistigen Eigentums oder Industriespionage in Kombination mit der opportunistischen Monetarisierung von Angriffen mit Ransomware.
„Meiner Meinung nach ist dieser Einsatz betreibergesteuerter selektiver Verschlüsselung höchstwahrscheinlich ein Indikator dafür, dass es sich bei der Maui-Kampagne nicht nur um eine Ransomware-Aktivität handelt“, sagt Turner.
Die Betreiber von Maui wären sicherlich bei weitem nicht die ersten, die Ransomware als Deckmantel für IP-Diebstahl und andere Aktivitäten nutzen. Das jüngste Beispiel für einen anderen Angreifer, der dasselbe tut, ist Bronze Starlight mit Sitz in China, was laut Secureworks offenbar der Fall ist Verwendung von Ransomware als Deckmantel für umfangreichen staatlich geförderten IP-Diebstahl und Cyberspionage.
Forscher sagen, dass Gesundheitsorganisationen, um sich selbst zu schützen, in eine solide Backup-Strategie investieren sollten. Laut Avishai Avivi, CISO bei SafeBreach, muss die Strategie häufige, mindestens monatliche Wiederherstellungstests umfassen, um sicherzustellen, dass die Backups funktionsfähig sind
„Gesundheitsorganisationen sollten außerdem alle Vorkehrungen treffen, um ihre Netzwerke zu segmentieren und Umgebungen zu isolieren, um die seitliche Ausbreitung von Ransomware zu verhindern“, stellt Avivi in einer E-Mail fest. „Diese grundlegenden Cyber-Hygieneschritte sind ein viel besserer Weg für Unternehmen, die sich auf einen Ransomware-Angriff vorbereiten [als Bitcoins zu horten, um ein Lösegeld zu zahlen]. Wir sehen immer noch, dass Organisationen die genannten grundlegenden Schritte nicht unternehmen. … Das bedeutet leider, dass Ransomware, wenn sie es an ihren Sicherheitskontrollen vorbei schafft (nicht wenn), sie über kein ordnungsgemäßes Backup verfügt und die Schadsoftware sich seitlich über die Netzwerke des Unternehmens verbreiten kann.“
Stairwell hat außerdem YARA-Regeln und -Tools veröffentlicht, die andere verwenden können, um Erkennungen für die Maui-Ransomware zu entwickeln.
