Actores estatales de Corea del Norte implementan ransomware quirúrgico en ataques cibernéticos en curso en organizaciones de atención médica de EE. UU.

El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Departamento del Tesoro advirtieron el miércoles sobre los actores de amenazas patrocinados por el estado de Corea del Norte que apuntan a organizaciones en los sectores de salud y salud pública de EE. UU. Los ataques se están llevando a cabo con una nueva herramienta de ransomware operada manualmente, un tanto inusual, llamada “Maui”.

Desde mayo de 2021, ha habido múltiples incidentes en los que los actores de amenazas que operan el malware han encriptado servidores responsables de servicios de atención médica críticos, incluidos servicios de diagnóstico, servidores de registros médicos electrónicos y servidores de imágenes en organizaciones en los sectores objetivo. En algunos casos, los ataques de Maui interrumpieron los servicios en las organizaciones de víctimas durante un período prolongado, dijeron las tres agencias en un aviso.

“Los actores cibernéticos patrocinados por el estado de Corea del Norte probablemente asuman que las organizaciones de atención médica están dispuestas a pagar rescates porque estas organizaciones brindan servicios que son críticos para la vida y la salud humana”, según el aviso. “Debido a esta suposición, el FBI, CISA y el Tesoro evalúan a los actores patrocinados por el estado de Corea del Norte es probable que sigan apuntando Organizaciones del sector [salud y salud pública]”.

Diseñado para operación manual

En un análisis técnico del 6 de julio, la empresa de seguridad Stairwell describió a Maui como un ransomware que se caracteriza por carecer de funciones que suelen estar presentes en otras herramientas de ransomware. Maui, por ejemplo, no tiene la habitual nota de ransomware incrustada con información para las víctimas sobre cómo recuperar sus datos. Tampoco parece tener ninguna funcionalidad integrada para transmitir claves de cifrado a los piratas informáticos de forma automatizada.

El malware en su lugar parece diseñado para ejecución manual, donde un atacante remoto interactúa con Maui a través de la interfaz de línea de comandos y le indica que cifre los archivos seleccionados en la máquina infectada y extraiga las claves para el atacante. 

Stairwell dijo que sus investigadores observaron que Maui encriptaba archivos usando una combinación de los esquemas de encriptación AES, RSA y XOR. Cada archivo seleccionado se cifra primero mediante AES con una clave única de 16 bytes. Luego, Maui encripta cada clave AES resultante con encriptación RSA y luego encripta la clave pública RSA con XOR. La clave privada RSA se codifica utilizando una clave pública incrustada en el propio malware.

Silas Cutler, ingeniero inverso principal de Stairwell, dice que el diseño del flujo de trabajo de cifrado de archivos de Maui es bastante consistente con otras familias modernas de ransomware. Lo que es realmente diferente es la ausencia de una nota de rescate. 

“La falta de una nota de rescate incrustada con instrucciones de recuperación es un atributo clave que falta que lo distingue de otras familias de ransomware”, dice Cutler. "Las notas de rescate se han convertido en tarjetas de visita para algunos de los grandes grupos de ransomware [y] a veces están adornadas con su propia marca". Él dice que Stairwell todavía está investigando cómo el actor de amenazas se comunica con las víctimas y exactamente qué demandas se están haciendo.

Los investigadores de seguridad dicen que hay varias razones por las que el actor de amenazas podría haber decidido seguir la ruta manual con Maui. Tim McGuffin, director de ingeniería contradictoria de Lares Consulting, dice que el malware operado manualmente tiene más posibilidades de evadir las herramientas modernas de protección de puntos finales y los archivos controlados en comparación con el ransomware automatizado en todo el sistema. 

“Al apuntar a archivos específicos, los atacantes pueden elegir qué es sensible y qué exfiltrar de una manera mucho más táctica en comparación con un ransomware de 'rociar y rezar'”, dice McGuffin. “Este 100% proporciona un enfoque quirúrgico y sigiloso para el ransomware, evitando que los defensores alerten sobre ransomware automatizado, y haciéndolo más difícil de usar enfoques de detección o respuesta basados ​​en el tiempo o en el comportamiento”.

Desde un punto de vista técnico, Maui no utiliza ningún medio sofisticado para evadir la detección, dice Cutler. Lo que podría hacerlo aún más problemático para la detección es su bajo perfil.

“La falta de la teatralidad común de ransomware, [como] notas de rescate [y] cambios en los antecedentes de los usuarios, puede hacer que los usuarios no se den cuenta de inmediato de que sus archivos han sido encriptados”, dice.

¿Es Maui una pista falsa?

Aaron Turner, CTO de Vectra, dice que el uso de Maui por parte del actor de amenazas de manera manual y selectiva podría ser una indicación de que hay otros motivos detrás de la campaña además de la ganancia financiera. Si Corea del Norte realmente está patrocinando estos ataques, es concebible que el ransomware sea solo una ocurrencia tardía y que los motivos reales estén en otra parte. 

Específicamente, lo más probable es que sea una combinación de robo de propiedad intelectual o espionaje industrial combinado con monetización oportunista de ataques con ransomware.

“En mi opinión, este uso de encriptación selectiva impulsada por el operador es probablemente un indicador de que la campaña de Maui no es solo una actividad de ransomware”, dice Turner.

Los operadores de Maui ciertamente no serían los primeros en usar ransomware como tapadera para el robo de IP y otras actividades. El ejemplo más reciente de otro atacante que hace lo mismo es Bronze Starlight, con sede en China, que según Secureworks parece ser usando ransomware como tapadera por el extenso robo de propiedad intelectual patrocinado por el gobierno y el espionaje cibernético.

Los investigadores dicen que para protegerse, las organizaciones de atención médica deben invertir en una estrategia de respaldo sólida. La estrategia debe incluir pruebas de recuperación frecuentes, al menos mensuales, para garantizar que las copias de seguridad sean viables, según Avishai Avivi, CISO de SafeBreach.

“Las organizaciones de atención médica también deben tomar todas las precauciones para segmentar sus redes y aislar los entornos para evitar la propagación lateral del ransomware”, señala Avivi en un correo electrónico. “Estos pasos básicos de higiene cibernética son una ruta mucho mejor para las organizaciones que se preparan para un ataque de ransomware [que acumular Bitcoins para pagar un rescate]. Todavía vemos organizaciones que no toman los pasos básicos mencionados. … Esto, desafortunadamente, significa que cuando (no si) el ransomware supera sus controles de seguridad, no tendrán una copia de seguridad adecuada y el software malicioso podrá propagarse lateralmente a través de las redes de la organización”.

Stairwell también ha lanzado reglas y herramientas YARA que otros pueden usar para desarrollar detecciones para el ransomware Maui.