FBI, Yhdysvaltain kyberturvallisuus- ja infrastruktuurin turvallisuusvirasto (CISA) ja valtiovarainministeriö varoittivat keskiviikkona Pohjois-Korean valtion tukemista uhkatoimijoista, jotka kohdistuvat Yhdysvaltojen terveydenhuolto- ja kansanterveysalan organisaatioihin. Hyökkäykset toteutetaan hieman epätavallisella, manuaalisesti toimivalla uudella kiristysohjelmatyökalulla nimeltä "Maui".
Toukokuusta 2021 lähtien on ollut useita tapauksia, joissa haittaohjelmia käyttävät uhkatekijät ovat salaaneet kriittisistä terveydenhuollon palveluista vastaavat palvelimet, mukaan lukien diagnostiikkapalvelut, sähköiset terveystietopalvelimet ja kuvantamispalvelimet kohdealojen organisaatioissa. Joissakin tapauksissa Mauin hyökkäykset häiritsivät uhrijärjestöjen palveluita pitkäksi aikaa, kolme virastoa sanoivat ilmoituksessaan.
"Pohjois-Korean valtion tukemat kybertoimijat olettavat todennäköisesti terveydenhuoltoorganisaatioiden olevan valmiita maksamaan lunnaita, koska nämä organisaatiot tarjoavat palveluita, jotka ovat kriittisiä ihmisten elämälle ja terveydelle", neuvon mukaan. "Tämän oletuksen vuoksi FBI, CISA ja valtiovarainministeriö arvioivat Pohjois-Korean valtion tukemia toimijoita todennäköisesti jatkavat kohdistusta [terveydenhuolto ja kansanterveys] Sektorijärjestöt."
Suunniteltu manuaaliseen käyttöön
Turvallisuusyritys Stairwell kuvaili 6. heinäkuuta tekemässään teknisessä analyysissä Mauin kiristyshaittaohjelmaksi, josta puuttuu ominaisuuksia, joita tavallisesti esiintyy muissa kiristysohjelmatyökaluissa. Esimerkiksi Mauilla ei ole tavallista sulautettua kiristyshaittaohjelmaa, jossa olisi tietoa uhreille tietojen palauttamisesta. Sillä ei myöskään näytä olevan mitään sisäänrakennettua toimintoa salausavainten lähettämiseksi hakkereille automaattisesti.
Sen sijaan haittaohjelma näyttää olevan suunniteltu manuaaliseen suoritukseen, jossa etähyökkääjä on vuorovaikutuksessa Mauin kanssa komentoriviliittymän kautta ja käskee sitä salaamaan valitut tiedostot tartunnan saaneella koneella ja suodattamaan avaimet takaisin hyökkääjälle.
Stairwell sanoi, että sen tutkijat havaitsivat Mauin salaavan tiedostoja käyttämällä AES-, RSA- ja XOR-salausjärjestelmien yhdistelmää. Jokainen valittu tiedosto ensin salataan AES:llä ainutlaatuisella 16-tavuisella avaimella. Maui salaa sitten jokaisen tuloksena olevan AES-avaimen RSA-salauksella ja salaa sitten julkisen RSA-avaimen XOR:lla. RSA:n yksityinen avain on koodattu julkisella avaimella, joka on upotettu itse haittaohjelmistoon.
Silas Cutler, Stairwellin johtaja, sanoo, että Mauin tiedostojen salaustyönkulku on melko yhdenmukainen muiden nykyaikaisten kiristysohjelmaperheiden kanssa. Se, mikä on todella erilaista, on lunastussetelin puuttuminen.
"Palautusohjeiden sisältävän upotetun lunnausilmoituksen puuttuminen on keskeinen puuttuva ominaisuus, joka erottaa sen muista lunnasohjelmaperheistä", Cutler sanoo. "Lunasseteistä on tullut joidenkin suurten kiristysohjelmaryhmien käyntikortteja [ja joskus niitä koristavat omat tuotemerkit." Hän sanoo, että Stairwell tutkii edelleen, kuinka uhkatekijä kommunikoi uhrien kanssa ja mitä vaatimuksia hänelle esitetään.
Turvallisuustutkijat sanovat, että on useita syitä, miksi uhkatekijä on voinut päättää mennä manuaalisesti Mauin kanssa. Tim McGuffin, Lares Consultingin kilpailevan suunnittelun johtaja, sanoo, että manuaalisesti ohjatuilla haittaohjelmilla on paremmat mahdollisuudet välttää nykyaikaiset päätepisteiden suojaustyökalut ja kanarian tiedostot verrattuna automatisoituihin, järjestelmän laajuisiin kiristysohjelmiin.
"Kohdistamalla tiettyihin tiedostoihin hyökkääjät voivat valita, mikä on arkaluonteista ja mitä suodattaa, paljon taktisemmin kuin "spray-and-pray" -lunnasohjelmat, McGuffin sanoo. "Tämä 100 % tarjoaa salakavalan ja kirurgisen lähestymistavan kiristysohjelmiin, mikä estää puolustajia hälyttämästä automaattisista kiristysohjelmista, ja vaikeuttaa käyttöä ajoitukseen tai käyttäytymiseen perustuvia lähestymistapoja havaitsemiseen tai reagointiin."
Teknisestä näkökulmasta Maui ei käytä mitään kehittyneitä keinoja välttää havaitsemista, Cutler sanoo. Se, mikä voisi tehdä siitä lisäksi ongelmallisen havaitsemisen kannalta, on sen matala profiili.
"Yleisten lunnasohjelmien puuttuminen - [kuten] lunnaat [ja] käyttäjien taustan muuttaminen - voivat johtaa siihen, että käyttäjät eivät heti tiedä, että heidän tiedostonsa on salattu", hän sanoo.
Onko Maui punainen silli?
Vectran teknologiajohtaja Aaron Turner sanoo, että uhkatekijän Mauin manuaalinen ja valikoiva käyttö saattaa olla osoitus siitä, että kampanjan taustalla on muita motiiveja kuin vain taloudellinen hyöty. Jos Pohjois-Korea todella sponsoroi näitä hyökkäyksiä, on mahdollista, että lunnasohjelmat ovat vain jälkikäteen ja että todelliset motiivit ovat muualla.
Tarkemmin sanottuna se on todennäköisimmin yhdistelmä immateriaaliomaisuuden varkauksia tai teollista vakoilua yhdistettynä opportunistiseen hyökkäysten ansaitsemiseen kiristysohjelmilla.
"Mielestäni tämä operaattorivetoisen valikoivan salauksen käyttö on todennäköisesti osoitus siitä, että Maui-kampanja ei ole vain lunnasohjelma", Turner sanoo.
Mauin operaattorit eivät varmasti olisi ensimmäisiä, jotka käyttävät lunnasohjelmia suojana IP-varkauksille ja muille toimille. Viimeisin esimerkki toisesta hyökkääjästä, joka tekee samoin, on kiinalainen Bronze Starlight, joka Secureworksin mukaan näyttää olevan käyttämällä lunnasohjelmia suojana laajasta hallituksen tukemasta IP-varkaudesta ja kybervakoilusta.
Tutkijat sanovat, että terveydenhuoltoorganisaatioiden tulee suojellakseen itsensä ja investoida vankkaan varastrategiaan. SafeBreachin CISO:n Avishai Avivin mukaan strategiaan on sisällyttävä säännöllinen, vähintään kuukausittainen palautustestaus sen varmistamiseksi, että varmuuskopiot ovat toimivia.
"Terveydenhuoltoorganisaatioiden tulee myös ryhtyä kaikkiin varotoimiin verkostojensa segmentoimiseksi ja ympäristöjen eristämiseksi, jotta estetään kiristyshaittaohjelmien leviäminen sivusuunnassa", Avivi huomauttaa sähköpostissa. "Nämä kyberhygienian perusvaiheet ovat paljon parempi reitti ransomware-hyökkäystä varten valmistautuville organisaatioille [kuin Bitcoinien varastointi lunnaiden maksamiseksi]. Näemme edelleen, että organisaatiot eivät pysty toteuttamaan mainittuja perusaskelia. … Tämä valitettavasti tarkoittaa, että kun (ei jos) kiristysohjelmat pääsevät yli suojausvalvonnan, niillä ei ole kunnollista varmuuskopiota ja haittaohjelmat voivat levitä sivusuunnassa organisaation verkkojen kautta."
Stairwell on myös julkaissut YARA-sääntöjä ja työkaluja, joita muut voivat käyttää Mauin kiristysohjelmien havaitsemiseen.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
