Mercoledì l’FBI, la Cybersecurity and Infrastructure Security Agency (CISA) e il Dipartimento del Tesoro degli Stati Uniti hanno messo in guardia contro gli autori di minacce sponsorizzate dallo stato nordcoreano che prendono di mira organizzazioni del settore sanitario e della sanità pubblica statunitense. Gli attacchi vengono effettuati con un nuovo strumento ransomware un po’ insolito, gestito manualmente, chiamato “Maui”.
Da maggio 2021, si sono verificati numerosi incidenti in cui gli attori delle minacce che gestiscono il malware hanno crittografato i server responsabili dei servizi sanitari critici, inclusi servizi diagnostici, server di cartelle cliniche elettroniche e server di imaging presso organizzazioni nei settori interessati. In alcuni casi, gli attacchi di Maui hanno interrotto i servizi presso le organizzazioni delle vittime per un periodo prolungato, hanno affermato le tre agenzie in un avviso.
“Gli attori informatici sponsorizzati dallo stato nordcoreano probabilmente presumono che le organizzazioni sanitarie siano disposte a pagare i riscatti perché queste organizzazioni forniscono servizi fondamentali per la vita e la salute umana”, secondo l’avviso. “A causa di questo presupposto, l’FBI, la CISA e il Tesoro valutano gli attori sponsorizzati dallo stato nordcoreano è probabile che continuino a prendere di mira [sanità e sanità pubblica] Organizzazioni di settore.”
Progettato per il funzionamento manuale
In un'analisi tecnica del 6 luglio, la società di sicurezza Stairwell ha descritto Maui come un ransomware caratterizzato dalla mancanza di funzionalità comunemente presenti in altri strumenti ransomware. Maui, ad esempio, non ha la solita nota ransomware incorporata con informazioni per le vittime su come recuperare i propri dati. Inoltre, non sembra avere alcuna funzionalità integrata per la trasmissione di chiavi di crittografia agli hacker in modo automatizzato.
Il malware invece sembra progettato per l'esecuzione manuale, in cui un aggressore remoto interagisce con Maui tramite l'interfaccia della riga di comando e gli indica di crittografare i file selezionati sulla macchina infetta e di esfiltrare le chiavi all'attaccante.
Stairwell ha affermato che i suoi ricercatori hanno osservato che Maui crittografava i file utilizzando una combinazione di schemi di crittografia AES, RSA e XOR. Ogni file selezionato viene prima crittografato utilizzando AES con una chiave univoca di 16 byte. Maui quindi crittografa ogni chiave AES risultante con la crittografia RSA, quindi crittografa la chiave pubblica RSA con XOR. La chiave privata RSA è codificata utilizzando una chiave pubblica incorporata nel malware stesso.
Silas Cutler, responsabile del reverse engineer presso Stairwell, afferma che la progettazione del flusso di lavoro di crittografia dei file di Maui è abbastanza coerente con altre moderne famiglie di ransomware. Ciò che è veramente diverso è l'assenza di una richiesta di riscatto.
"La mancanza di una richiesta di riscatto incorporata con istruzioni per il ripristino è un attributo chiave mancante che lo distingue dalle altre famiglie di ransomware", afferma Cutler. "Le richieste di riscatto sono diventate biglietti da visita per alcuni dei grandi gruppi di ransomware [e sono] talvolta decorate con il proprio marchio." Dice che Stairwell sta ancora indagando su come l'autore della minaccia comunica con le vittime e esattamente quali richieste vengono avanzate.
I ricercatori di sicurezza affermano che ci sono diversi motivi per cui l'attore della minaccia potrebbe aver deciso di seguire la strada manuale con Maui. Tim McGuffin, direttore dell'ingegneria contraddittoria presso Lares Consulting, afferma che il malware gestito manualmente ha maggiori possibilità di eludere i moderni strumenti di protezione degli endpoint e i file canary rispetto al ransomware automatizzato a livello di sistema.
"Prendendo di mira file specifici, gli aggressori possono scegliere cosa è sensibile e cosa esfiltrare in modo molto più tattico rispetto a un ransomware 'spray-and-pray'", afferma McGuffin. “Questo 100% fornisce un approccio furtivo e chirurgico al ransomware, impedendo ai difensori di avvisare del ransomware automatizzato e rendendolo più difficile da usare approcci basati sui tempi o sul comportamento al rilevamento o alla risposta.
Da un punto di vista tecnico, Maui non utilizza mezzi sofisticati per eludere il rilevamento, afferma Cutler. Ciò che potrebbe renderlo ulteriormente problematico per il rilevamento è il suo basso profilo.
"La mancanza dei comuni trucchi del ransomware - [come] richieste di riscatto [e] modifica degli sfondi degli utenti - potrebbe far sì che gli utenti non si rendano immediatamente conto che i loro file sono stati crittografati", afferma.
Maui è una falsa pista?
Aaron Turner, CTO di Vectra, afferma che l'uso di Maui da parte dell'autore della minaccia in modo manuale e selettivo potrebbe essere un'indicazione che ci sono altri motivi dietro la campagna oltre al semplice guadagno finanziario. Se davvero la Corea del Nord sponsorizza questi attacchi, è possibile che il ransomware sia solo un ripensamento e che i veri motivi siano altrove.
Nello specifico, si tratta molto probabilmente di una combinazione di furto di proprietà intellettuale o spionaggio industriale combinato con la monetizzazione opportunistica degli attacchi con ransomware.
"Secondo me, questo utilizzo della crittografia selettiva gestita dall'operatore è molto probabilmente un indicatore del fatto che la campagna di Maui non è solo un'attività ransomware", afferma Turner.
Gli operatori di Maui non sarebbero di certo i primi in assoluto a utilizzare il ransomware come copertura per il furto di IP e altre attività. L'esempio più recente di un altro aggressore che fa lo stesso è Bronze Starlight, con sede in Cina, che secondo Secureworks sembra essere utilizzando il ransomware come copertura per furto di IP e spionaggio informatico estesi sponsorizzati dal governo.
I ricercatori affermano che per proteggersi, le organizzazioni sanitarie dovrebbero investire in una solida strategia di backup. La strategia deve includere test di ripristino frequenti, almeno mensili, per garantire che i backup siano fattibili, secondo Avishai Avivi, CISO di SafeBreach
“Le organizzazioni sanitarie dovrebbero inoltre prendere tutte le precauzioni per segmentare le proprie reti e isolare gli ambienti per prevenire la diffusione laterale del ransomware”, osserva Avivi in una e-mail. “Questi passaggi basilari di igiene informatica rappresentano un percorso molto migliore per le organizzazioni che si preparano a un attacco ransomware [rispetto all’accumulo di Bitcoin per pagare un riscatto]. Vediamo ancora che le organizzazioni non riescono a compiere i passi fondamentali menzionati. … Ciò, sfortunatamente, significa che quando (non se) il ransomware supera i controlli di sicurezza, non avranno un backup adeguato e il software dannoso sarà in grado di diffondersi lateralmente attraverso le reti dell’organizzazione.”
Stairwell ha anche rilasciato regole e strumenti YARA che altri possono utilizzare per sviluppare rilevamenti per il ransomware Maui.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
