Le FBI, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le département du Trésor ont mis en garde mercredi contre les acteurs de la menace parrainés par l'État nord-coréen ciblant des organisations des secteurs américain de la santé et de la santé publique. Les attaques sont menées à l'aide d'un nouvel outil de rançongiciel quelque peu inhabituel, à commande manuelle, appelé "Maui".
Depuis mai 2021, il y a eu plusieurs incidents où les acteurs de la menace exploitant le logiciel malveillant ont chiffré des serveurs responsables de services de santé critiques, y compris des services de diagnostic, des serveurs de dossiers de santé électroniques et des serveurs d'imagerie dans des organisations des secteurs ciblés. Dans certains cas, les attaques de Maui ont interrompu les services des organisations de victimes pendant une période prolongée, ont déclaré les trois agences dans un avis.
"Les cyber-acteurs parrainés par l'État nord-coréen supposent probablement que les organisations de soins de santé sont disposées à payer des rançons parce que ces organisations fournissent des services essentiels à la vie et à la santé humaines", selon l'avis. "En raison de cette hypothèse, le FBI, la CISA et le Trésor évaluent les acteurs parrainés par l'État nord-coréen sont susceptibles de continuer à cibler [santé et santé publique] Organisations du secteur.
Conçu pour un fonctionnement manuel
Dans une analyse technique du 6 juillet, la société de sécurité Stairwell a décrit Maui comme un ransomware qui se distingue par l'absence de fonctionnalités couramment présentes dans d'autres outils de ransomware. Maui, par exemple, n'a pas la note de ransomware intégrée habituelle avec des informations pour les victimes sur la façon de récupérer leurs données. Il ne semble pas non plus avoir de fonctionnalité intégrée pour transmettre les clés de cryptage aux pirates de manière automatisée.
Le malware à la place semble conçu pour une exécution manuelle, où un attaquant distant interagit avec Maui via l'interface de ligne de commande et lui demande de chiffrer les fichiers sélectionnés sur la machine infectée et d'exfiltrer les clés vers l'attaquant.
Stairwell a déclaré que ses chercheurs avaient observé Maui chiffrer des fichiers en utilisant une combinaison des schémas de chiffrement AES, RSA et XOR. Chaque fichier sélectionné est d'abord crypté à l'aide d'AES avec une clé unique de 16 octets. Maui crypte ensuite chaque clé AES résultante avec le cryptage RSA, puis crypte la clé publique RSA avec XOR. La clé privée RSA est codée à l'aide d'une clé publique intégrée dans le logiciel malveillant lui-même.
Silas Cutler, rétro-ingénieur principal chez Stairwell, affirme que la conception du flux de travail de chiffrement de fichiers de Maui est assez cohérente avec les autres familles de ransomwares modernes. Ce qui est vraiment différent, c'est l'absence de note de rançon.
"L'absence d'une note de rançon intégrée avec des instructions de récupération est un attribut clé manquant qui le distingue des autres familles de ransomwares", déclare Cutler. "Les notes de rançon sont devenues des cartes de visite pour certains des grands groupes de rançongiciels [et sont] parfois arborant leur propre marque." Il dit que Stairwell enquête toujours sur la façon dont l'acteur de la menace communique avec les victimes et sur les demandes exactes qui sont faites.
Les chercheurs en sécurité disent qu'il y a plusieurs raisons pour lesquelles l'acteur de la menace aurait pu décider d'emprunter la voie manuelle avec Maui. Tim McGuffin, directeur de l'ingénierie contradictoire chez Lares Consulting, affirme que les logiciels malveillants à commande manuelle ont plus de chances d'échapper aux outils modernes de protection des terminaux et aux fichiers canary par rapport aux ransomwares automatisés à l'échelle du système.
"En ciblant des fichiers spécifiques, les attaquants peuvent choisir ce qui est sensible et ce qu'il faut exfiltrer d'une manière beaucoup plus tactique par rapport à un ransomware 'spray-and-pray'", explique McGuffin. "Ce 100% fournit une approche furtive et chirurgicale des ransomwares, empêchant les défenseurs d'alerter sur les ransomwares automatisés, et ce qui rend l'utilisation plus difficile approches de détection ou de réponse basées sur le temps ou le comportement.
D'un point de vue technique, Maui n'utilise aucun moyen sophistiqué pour échapper à la détection, dit Cutler. Ce qui pourrait le rendre encore plus problématique pour la détection, c'est son profil bas.
"Le manque de théâtres de rançongiciels courants - [tels que] les notes de rançon [et] la modification des antécédents des utilisateurs - peut faire en sorte que les utilisateurs ne soient pas immédiatement conscients que leurs fichiers ont été cryptés", dit-il.
Maui est-il un hareng rouge ?
Aaron Turner, CTO chez Vectra, affirme que l'utilisation manuelle et sélective de Maui par l'acteur de la menace pourrait être une indication qu'il y a d'autres motifs derrière la campagne que le simple gain financier. Si la Corée du Nord parraine vraiment ces attaques, il est concevable que les rançongiciels ne soient qu'une réflexion après coup et que les véritables motifs se trouvent ailleurs.
Plus précisément, il s'agit très probablement d'une combinaison de vol de propriété intellectuelle ou d'espionnage industriel combiné à une monétisation opportuniste d'attaques avec des rançongiciels.
"À mon avis, cette utilisation du cryptage sélectif piloté par l'opérateur est très probablement un indicateur que la campagne Maui n'est pas seulement une activité de ransomware", déclare Turner.
Les opérateurs de Maui ne seraient certainement pas les premiers et de loin à utiliser les ransomwares comme couverture pour le vol d'IP et d'autres activités. L'exemple le plus récent d'un autre attaquant faisant de même est Bronze Starlight, basé en Chine, qui, selon Secureworks, semble être utiliser un rançongiciel comme couverture pour le vol de propriété intellectuelle et le cyberespionnage parrainés par le gouvernement.
Les chercheurs disent que pour se protéger, les organisations de soins de santé devraient investir dans une stratégie de sauvegarde solide. La stratégie doit inclure des tests de récupération fréquents, au moins mensuels, pour s'assurer que les sauvegardes sont viables, selon Avishai Avivi, CISO chez SafeBreach
"Les organisations de santé doivent également prendre toutes les précautions pour segmenter leurs réseaux et isoler les environnements afin d'empêcher la propagation latérale des ransomwares", note Avivi dans un e-mail. "Ces étapes de base en matière de cyber-hygiène constituent une bien meilleure voie pour les organisations qui se préparent à une attaque de ransomware [que de stocker des Bitcoins pour payer une rançon]. Nous voyons encore des organisations ne pas suivre les étapes de base mentionnées. … Cela signifie malheureusement que lorsque (pas si) un rançongiciel franchit leurs contrôles de sécurité, ils n'auront pas de sauvegarde appropriée et le logiciel malveillant pourra se propager latéralement à travers les réseaux de l'organisation.
Stairwell a également publié des règles et des outils YARA que d'autres peuvent utiliser pour développer des détections pour le rançongiciel Maui.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
