FBI, US Cybersecurity and Infrastructure Security Agency (CISA), dan Departemen Keuangan pada hari Rabu memperingatkan tentang aktor ancaman yang disponsori negara Korea Utara yang menargetkan organisasi di sektor perawatan kesehatan dan kesehatan masyarakat AS. Serangan dilakukan dengan alat ransomware baru yang agak tidak biasa dan dioperasikan secara manual yang disebut โMaui.โ
Sejak Mei 2021, ada beberapa insiden di mana pelaku ancaman yang mengoperasikan malware memiliki server terenkripsi yang bertanggung jawab atas layanan kesehatan kritis, termasuk layanan diagnostik, server catatan kesehatan elektronik, dan server pencitraan di organisasi di sektor yang ditargetkan. Dalam beberapa kasus, serangan Maui mengganggu layanan di organisasi korban untuk waktu yang lama, kata tiga lembaga tersebut dalam sebuah nasihat.
โAktor dunia maya yang disponsori negara Korea Utara kemungkinan menganggap organisasi perawatan kesehatan bersedia membayar uang tebusan karena organisasi ini menyediakan layanan yang sangat penting bagi kehidupan dan kesehatan manusia,โ menurut penasihat tersebut. โKarena asumsi ini, FBI, CISA, dan Departemen Keuangan menilai aktor yang disponsori negara Korea Utara kemungkinan akan terus menargetkan [kesehatan dan kesehatan masyarakat] Organisasi sektor.โ
Dirancang untuk Operasi Manual
Dalam analisis teknis pada 6 Juli, perusahaan keamanan Stairwell menggambarkan Maui sebagai ransomware yang terkenal karena kekurangan fitur yang biasanya ada di alat ransomware lainnya. Maui, misalnya, tidak memiliki catatan ransomware tertanam biasa dengan informasi untuk korban tentang cara memulihkan data mereka. Tampaknya juga tidak memiliki fungsi bawaan untuk mengirimkan kunci enkripsi ke peretas secara otomatis.
Malware sebagai gantinya tampaknya dirancang untuk eksekusi manual, di mana penyerang jarak jauh berinteraksi dengan Maui melalui antarmuka baris perintah dan memerintahkannya untuk mengenkripsi file yang dipilih pada mesin yang terinfeksi dan mengekstrak kunci kembali ke penyerang.
Stairwell mengatakan para penelitinya mengamati file enkripsi Maui menggunakan kombinasi skema enkripsi AES, RSA, dan XOR. Setiap file yang dipilih pertama kali dienkripsi menggunakan AES dengan kunci 16-byte yang unik. Maui kemudian mengenkripsi setiap kunci AES yang dihasilkan dengan enkripsi RSA, dan kemudian mengenkripsi kunci publik RSA dengan XOR. Kunci pribadi RSA dikodekan menggunakan kunci publik yang tertanam dalam malware itu sendiri.
Silas Cutler, reverse engineer utama di Stairwell, mengatakan desain alur kerja enkripsi file Maui cukup konsisten dengan keluarga ransomware modern lainnya. Yang benar-benar berbeda adalah tidak adanya catatan tebusan.
โKurangnya catatan tebusan tertanam dengan instruksi pemulihan adalah atribut kunci yang hilang yang membedakannya dari keluarga ransomware lainnya,โ kata Cutler. โCatatan tebusan telah menjadi kartu panggil untuk beberapa kelompok ransomware besar [dan] kadang-kadang dihiasi dengan merek mereka sendiri.โ Dia mengatakan Stairwell masih menyelidiki bagaimana aktor ancaman berkomunikasi dengan korban dan tuntutan apa yang dibuat.
Peneliti keamanan mengatakan ada beberapa alasan mengapa pelaku ancaman mungkin memutuskan untuk mengambil rute manual dengan Maui. Tim McGuffin, direktur adversarial engineering di Lares Consulting, mengatakan malware yang dioperasikan secara manual memiliki peluang lebih baik untuk menghindari alat perlindungan titik akhir modern dan file canary dibandingkan dengan ransomware otomatis di seluruh sistem.
โDengan menargetkan file tertentu, penyerang dapat memilih apa yang sensitif dan apa yang akan dieksfiltrasi dengan cara yang jauh lebih taktis jika dibandingkan dengan ransomware 'semprot-dan-berdoa',โ kata McGuffin. โIni 100% memberikan pendekatan sembunyi-sembunyi dan bedah untuk ransomware, mencegah pembela dari memperingatkan ransomware otomatis, dan membuatnya lebih sulit untuk digunakan waktu atau pendekatan berbasis perilaku untuk deteksi atau respons.
Dari sudut pandang teknis, Maui tidak menggunakan cara canggih untuk menghindari deteksi, kata Cutler. Apa yang membuatnya lebih sulit untuk dideteksi adalah profilnya yang rendah.
โKurangnya sandiwara ransomware yang umum โ [seperti] catatan tebusan [dan] mengubah latar belakang pengguna โ dapat mengakibatkan pengguna tidak segera menyadari bahwa file mereka telah dienkripsi,โ katanya.
Apakah Maui Ikan Herring Merah?
Aaron Turner, CTO di Vectra, mengatakan penggunaan Maui oleh aktor ancaman secara manual dan selektif bisa menjadi indikasi bahwa ada motif lain di balik kampanye selain keuntungan finansial. Jika Korea Utara benar-benar mensponsori serangan ini, dapat dibayangkan bahwa ransomware hanyalah sebuah renungan dan motif sebenarnya ada di tempat lain.
Secara khusus, kemungkinan besar kombinasi pencurian kekayaan intelektual atau spionase industri dikombinasikan dengan monetisasi oportunistik serangan dengan ransomware.
โMenurut pendapat saya, penggunaan enkripsi selektif yang digerakkan oleh operator ini kemungkinan besar merupakan indikator bahwa kampanye Maui bukan hanya aktivitas ransomware,โ kata Turner.
Operator Maui tentu bukan yang pertama menggunakan ransomware sebagai penutup untuk pencurian IP dan aktivitas lainnya. Contoh terbaru dari penyerang lain yang melakukan hal yang sama adalah Bronze Starlight yang berbasis di China, yang menurut Secureworks tampaknya menggunakan ransomware sebagai penutup untuk pencurian IP dan spionase dunia maya yang disponsori pemerintah secara ekstensif.
Para peneliti mengatakan bahwa untuk melindungi diri mereka sendiri, organisasi kesehatan harus berinvestasi dalam strategi cadangan yang solid. Strategi tersebut harus mencakup pengujian pemulihan yang sering, setidaknya setiap bulan, untuk memastikan pencadangan dapat dilakukan, menurut Avishai Avivi, CISO di SafeBreach
โOrganisasi perawatan kesehatan juga harus mengambil semua tindakan pencegahan untuk mengelompokkan jaringan mereka dan mengisolasi lingkungan untuk mencegah penyebaran lateral ransomware,โ Avivi mencatat dalam email. โLangkah-langkah kebersihan siber dasar ini adalah rute yang jauh lebih baik bagi organisasi yang bersiap menghadapi serangan ransomware [daripada menimbun Bitcoin untuk membayar uang tebusan]. Kami masih melihat organisasi gagal untuk mengambil langkah-langkah dasar yang disebutkan. โฆ Sayangnya, ini berarti bahwa ketika (tidak jika) ransomware berhasil melewati kontrol keamanan mereka, mereka tidak akan memiliki cadangan yang tepat, dan perangkat lunak berbahaya akan dapat menyebar secara lateral melalui jaringan organisasi.โ
Stairwell juga telah merilis aturan dan alat YARA yang dapat digunakan orang lain untuk mengembangkan deteksi untuk ransomware Maui.
