The FBI, US Cybersecurity and Infrastructure Security Agency (CISA), and the Treasury Department on Wednesday warned about North Korean state-sponsored threat actors targeting organizations in the US healthcare and public-health sectors. The attacks are being carried out with a somewhat unusual, manually operated new ransomware tool called “Maui.”
از ماه مه 2021، حوادث متعددی رخ داده است که در آن عوامل تهدید کننده که بدافزار را اداره میکنند، سرورهای مسئول خدمات مهم مراقبتهای بهداشتی، از جمله خدمات تشخیصی، سرورهای پرونده الکترونیکی سلامت، و سرورهای تصویربرداری در سازمانها در بخشهای هدف را رمزگذاری کردهاند. این سه آژانس در مشاوره ای گفتند که در برخی موارد، حملات مائوئی خدمات سازمان های قربانی را برای مدت طولانی مختل کرد.
“The North Korean state-sponsored cyber actors likely assume healthcare organizations are willing to pay ransoms because these organizations provide services that are critical to human life and health,” according to the advisory. “Because of this assumption, the FBI, CISA, and Treasury assess North Korean state-sponsored actors به احتمال زیاد به هدف گذاری ادامه خواهند داد [healthcare and public health] Sector organizations.”
طراحی شده برای عملیات دستی
در یک تحلیل فنی در 6 ژوئیه، شرکت امنیتی Stairwell Maui را به عنوان باج افزاری توصیف کرد که به دلیل کمبود ویژگی هایی که معمولاً در سایر ابزارهای باج افزار وجود دارد قابل توجه است. برای مثال، Maui یادداشت باجافزار تعبیهشده معمولی با اطلاعاتی برای قربانیان در مورد نحوه بازیابی اطلاعات خود ندارد. همچنین به نظر نمی رسد که هیچ عملکرد داخلی برای انتقال کلیدهای رمزگذاری به هکرها به صورت خودکار نداشته باشد.
بدافزار در عوض ظاهر می شود که برای اجرای دستی طراحی شده است، جایی که یک مهاجم از راه دور از طریق رابط خط فرمان با Maui تعامل می کند و به آن دستور می دهد تا فایل های انتخاب شده را در دستگاه آلوده رمزگذاری کند و کلیدها را به مهاجم بازگرداند.
Stairwell گفت که محققان آن فایلهای رمزگذاری Maui را با استفاده از ترکیبی از طرحهای رمزگذاری AES، RSA و XOR مشاهده کردند. هر فایل انتخابی ابتدا با استفاده از AES با یک کلید منحصر به فرد 16 بایتی رمزگذاری می شود. سپس Maui هر کلید AES حاصل را با رمزگذاری RSA رمزگذاری میکند و سپس کلید عمومی RSA را با XOR رمزگذاری میکند. کلید خصوصی RSA با استفاده از یک کلید عمومی تعبیه شده در خود بدافزار رمزگذاری می شود.
Silas Cutler, principal reverse engineer at Stairwell, says the design of Maui’s file-encryption workflow is fairly consistent with other modern ransomware families. What’s really different is the absence of a ransom note.
“The lack of an embedded ransom note with recovery instructions is a key missing attribute that sets it apart from other ransomware families,” Cutler says. “Ransom notes have become calling cards for some of the large ransomware groups [and are] sometimes emblazoned with their own branding.” He says Stairwell is still investigating how the threat actor is communicating with victims and exactly what demands are being made.
محققان امنیتی می گویند دلایل مختلفی وجود دارد که عامل تهدید ممکن است تصمیم گرفته باشد مسیر دستی را با Maui طی کند. تیم مک گافین، مدیر مهندسی رقیب در Lares Consulting، میگوید بدافزارهای دستی در مقایسه با باجافزارهای خودکار و سراسری، شانس بیشتری برای فرار از ابزارهای مدرن حفاظت نقطه پایانی و فایلهای قناری دارند.
“By targeting specific files, the attackers get to choose what is sensitive and what to exfiltrate in a much more tactical fashion when compared to a ‘spray-and-pray’ ransomware,” McGuffin says. “This 100% provides a stealth and surgical approach to ransomware, preventing defenders from alerting on automated ransomware, and استفاده از آن را دشوارتر می کند رویکردهای مبتنی بر زمان یا رفتار برای تشخیص یا پاسخ».
From a technical standpoint, Maui doesn’t utilize any sophisticated means to evade detection, Cutler says. What could make it additionally problematic for detection is its low profile.
“The lack of the common ransomware theatrics — [such as] ransom notes [and] changing user backgrounds — may result in users not being immediately aware that their files have been encrypted,” he says.
آیا مائوئی شاه ماهی قرمز است؟
Aaron Turner, CTO at Vectra, says the threat actor’s use of Maui in a manual and selective manner could be an indication that there are other motives behind the campaign than just financial gain. If North Korea really is sponsoring these attacks, it is conceivable that ransomware is only an afterthought and that the real motives lie elsewhere.
Specifically, it’s most likely a combination of intellectual property theft or industrial espionage combined with opportunistic monetization of attacks with ransomware.
“In my opinion, this use of operator-driven selective encryption is most likely an indicator that the Maui campaign is not just a ransomware activity,” Turner says.
اپراتورهای Maui مطمئناً اولین نفری نیستند که از باج افزار به عنوان پوششی برای سرقت IP و سایر فعالیت ها استفاده می کنند. جدیدترین نمونه از مهاجم دیگری که همین کار را انجام می دهد، برنز استارلایت مستقر در چین است که طبق گفته Secureworks به نظر می رسد استفاده از باج افزار به عنوان پوشش برای سرقت IP گسترده و جاسوسی سایبری تحت حمایت دولت.
محققان می گویند که برای محافظت از خود، سازمان های مراقبت های بهداشتی باید روی یک استراتژی پشتیبان قوی سرمایه گذاری کنند. به گفته Avishai Avivi، CISO در SafeBreach، این استراتژی باید شامل تست بازیابی مکرر، حداقل ماهانه باشد تا اطمینان حاصل شود که پشتیبانگیریها قابل دوام هستند.
“Healthcare organizations should also take all precautions to segment their networks and isolate environments to prevent the lateral spread of ransomware,” Avivi notes in an email. “These basic cyber-hygiene steps are a much better route for organizations preparing for a ransomware attack [than stockpiling Bitcoins to pay a ransom]. We still see organizations fail to take the basic steps mentioned. … This, unfortunately, means that when (not if) ransomware makes it past their security controls, they will not have a proper backup, and the malicious software will be able to spread laterally through the organization’s networks.”
Stairwell همچنین قوانین و ابزارهای YARA را منتشر کرده است که دیگران می توانند از آنها برای توسعه شناسایی باج افزار Maui استفاده کنند.
