Az FBI, az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) és a Pénzügyminisztérium szerdán figyelmeztetett az észak-koreai államilag támogatott fenyegetettségi szereplőkre, amelyek az Egyesült Államok egészségügyi és közegészségügyi szektorában működő szervezeteket támadják meg. A támadásokat egy kissé szokatlan, manuálisan működtetett új, „Maui” nevű ransomware eszközzel hajtják végre.
2021 májusa óta több olyan incidens is történt, amikor a kártevőt üzemeltető fenyegetett szereplők titkosítottak a kritikus egészségügyi szolgáltatásokért felelős szervereket, beleértve a diagnosztikai szolgáltatásokat, az elektronikus egészségügyi nyilvántartás-szervereket és a képalkotó szervereket a megcélzott ágazatok szervezeteiben. Egyes esetekben a maui támadások hosszabb időre megzavarták az áldozatszervezetek szolgáltatásait – áll a három ügynökség közleményében.
„Az észak-koreai állam által támogatott kiberszereplők valószínűleg azt feltételezik, hogy az egészségügyi szervezetek hajlandóak váltságdíjat fizetni, mert ezek a szervezetek az emberi élet és egészség szempontjából kritikus szolgáltatásokat nyújtanak” – áll a tanácsban. „E feltételezés miatt az FBI, a CISA és a Pénzügyminisztérium felméri az észak-koreai állam által támogatott szereplőket valószínűleg folytatni fogják a célzást [egészségügy és közegészségügy] ágazati szervezetek.”
Kézi működtetésre tervezve
Egy július 6-i technikai elemzésben a Stairwell biztonsági cég a Maui-t ransomware-nek nevezte, amely figyelemre méltó, hogy hiányoznak olyan funkciók, amelyek általában megtalálhatók más ransomware eszközökben. Maui például nem rendelkezik a szokásos beágyazott ransomware-feljegyzéssel, amely az áldozatok számára információkat tartalmazna adataik visszaállításáról. Úgy tűnik, hogy nincs beépített funkciója a titkosítási kulcsok automatikus továbbítására a hackereknek.
A rosszindulatú program helyett kézi végrehajtásra tervezve, ahol egy távoli támadó a parancssori felületen keresztül kapcsolatba lép Maui-val, és utasítja, hogy titkosítsa a fertőzött gépen lévő kiválasztott fájlokat, és szűrje vissza a kulcsokat a támadóhoz.
A Stairwell szerint a kutatók megfigyelték, hogy Maui az AES, RSA és XOR titkosítási sémák kombinációjával titkosította a fájlokat. Minden kiválasztott fájl először AES-sel, egyedi 16 bájtos kulccsal titkosítva lesz. A Maui ezután minden kapott AES-kulcsot RSA-titkosítással titkosít, majd az RSA nyilvános kulcsát XOR-val titkosítja. Az RSA privát kulcs kódolása a rosszindulatú programba beágyazott nyilvános kulccsal történik.
Silas Cutler, a Stairwell fő visszafejtő mérnöke szerint a Maui fájltitkosítási munkafolyamatának kialakítása meglehetősen összhangban van más modern zsarolóprogram-családokkal. Ami igazán más, az a váltságdíj-jegy hiánya.
„A helyreállítási utasításokat tartalmazó beágyazott váltságdíj-jegyzet hiánya egy kulcsfontosságú hiányzó tulajdonság, amely megkülönbözteti a többi zsarolóprogram-családtól” – mondja Cutler. „A váltságdíj-jegyzetek néhány nagy zsarolóprogram-csoport hívókártyájává váltak, és néha saját márkajelzéssel is díszítik őket.” Azt mondja, Stairwell még mindig vizsgálja, hogyan kommunikál a fenyegetőző az áldozatokkal, és pontosan milyen követeléseket támasztanak.
Biztonsági kutatók szerint több oka is lehet annak, hogy a fenyegetettség szereplője úgy döntött, hogy a manuális utat választja Maui-val. Tim McGuffin, a Lares Consulting ellenséges mérnöki részlegének igazgatója szerint a manuálisan működtetett rosszindulatú programok nagyobb eséllyel tudják elkerülni a modern végpontvédelmi eszközöket és a kanári fájlokat, mint az automatizált, rendszerszintű zsarolóprogramok.
„Ha konkrét fájlokat céloznak meg, a támadók sokkal taktikaibb módon választhatják ki, hogy mi az érzékeny, és mi az, amit kiszűrnek, összehasonlítva a „spray-and-pray” zsarolóvírusokkal” – mondja McGuffin. "Ez a 100% rejtett és sebészeti megközelítést biztosít a zsarolóvírusok ellen, megakadályozva, hogy a védelmezők riasztást adjanak az automatizált zsarolóvírusokra, és megnehezítve a használatát időzítés vagy viselkedés alapú megközelítések az észleléshez vagy a reagáláshoz."
Technikai szempontból Maui nem használ kifinomult eszközöket az észlelés elkerülésére, mondja Cutler. Ami még problémássá teheti az észlelést, az alacsony profilja.
„A gyakori zsarolóprogramok hiánya – [például] váltságdíj-jegyzetek [és] a felhasználói háttér megváltoztatása – azt eredményezheti, hogy a felhasználók nem veszik azonnal tudomásul, hogy fájljaik titkosítva vannak” – mondja.
Maui egy vörös hering?
Aaron Turner, a Vectra műszaki igazgatója szerint az, hogy a fenyegetőző szereplő Maui-t manuálisan és szelektíven használja, arra utalhat, hogy a kampány mögött más motívumok is állnak, nem csupán anyagi haszonszerzés. Ha Észak-Korea valóban szponzorálja ezeket a támadásokat, akkor elképzelhető, hogy a ransomware csak utólagos gondolat, és a valódi indítékok máshol vannak.
Pontosabban, ez a legvalószínűbb a szellemi tulajdon eltulajdonításának vagy az ipari kémkedésnek a ransomware-ekkel történő támadások opportunista bevételszerzésének kombinációja.
„Véleményem szerint az operátor által vezérelt szelektív titkosítás használata valószínűleg azt jelzi, hogy a Maui-kampány nem csupán zsarolóvírus-tevékenység” – mondja Turner.
A Maui üzemeltetői biztosan nem lennének az elsők, akik ransomware-t használnának IP-lopások és egyéb tevékenységek fedezésére. A legutóbbi példa arra, hogy egy másik támadó ugyanezt tette, a kínai székhelyű Bronze Starlight, amely a Secureworks szerint ransomware-t használva fedezékként kiterjedt, kormány által támogatott IP-lopás és kiberkémkedés miatt.
A kutatók szerint az egészségügyi szervezeteknek saját maguk védelme érdekében szilárd tartalék stratégiába kell befektetniük. Avishai Avivi, a SafeBreach CISO-ja szerint a stratégiának tartalmaznia kell a gyakori, legalább havi rendszerességű helyreállítási tesztelést annak biztosítása érdekében, hogy a biztonsági mentések életképesek legyenek.
"Az egészségügyi szervezeteknek minden óvintézkedést meg kell tenniük hálózataik szegmentálására és a környezetek elkülönítésére, hogy megakadályozzák a ransomware oldalirányú terjedését" - jegyzi meg Avivi egy e-mailben. „Ezek az alapvető kiberhigiéniai lépések sokkal jobb utat jelentenek a zsarolóvírus-támadásra készülő szervezetek számára [mint a váltságdíj kifizetéséhez szükséges bitcoinok felhalmozása]. Még mindig azt látjuk, hogy a szervezetek nem teszik meg az említett alapvető lépéseket. … Ez sajnos azt jelenti, hogy amikor (nem ha) a zsarolóprogramok túljutnak a biztonsági ellenőrzéseken, nem lesz megfelelő biztonsági mentésük, és a rosszindulatú szoftver oldalirányban terjedhet a szervezet hálózatán keresztül.”
A Stairwell a YARA szabályokat és eszközöket is kiadott, amelyeket mások is használhatnak a Maui ransomware észlelésének fejlesztésére.
