שחקנים במדינת צפון קוריאה פורסים תוכנת כופר כירורגית במתקפות סייבר מתמשכות על ארגוני הבריאות בארה"ב, PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

שחקני צפון קוריאה פורסים תוכנת כופר כירורגית במתקפות סייבר מתמשכות על ארגוני בריאות בארה"ב

חותמת זמן: 6 ביולי 2022 5:08

ה-FBI, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), ומשרד האוצר הזהירו ביום רביעי מפני גורמי איומים בחסות צפון קוריאה המכוונים לארגונים במגזרי הבריאות והבריאות הציבוריים בארה"ב. ההתקפות מבוצעות באמצעות כלי חדש במקצת יוצא דופן המופעל ידנית בשם "מאווי".

מאז מאי 2021, אירעו מספר אירועים שבהם גורמי איומים המפעילים את התוכנה הזדונית הצפנו שרתים האחראים לשירותי בריאות קריטיים, כולל שירותי אבחון, שרתי רשומות בריאות אלקטרוניות ושרתי הדמיה בארגונים במגזרים הממוקדים. במקרים מסוימים, התקפות מאווי שיבשו את השירותים בארגוני הקורבן לתקופה ממושכת, אמרו שלוש הסוכנויות בייעוץ.

"שחקני הסייבר בחסות המדינה הצפון קוריאנית מניחים ככל הנראה שארגוני הבריאות מוכנים לשלם כופר מכיוון שהארגונים הללו מספקים שירותים שהם קריטיים לחיי אדם ולבריאות", לפי הייעוץ. "בגלל ההנחה הזו, ה-FBI, CISA ומשרד האוצר מעריכים שחקנים בחסות המדינה של צפון קוריאה צפויים להמשיך למקד [בריאות ובריאות הציבור] ארגוני המגזר".

מיועד לתפעול ידני

בניתוח טכני ב-6 ביולי, חברת האבטחה Stairwell תיארה את מאווי כתוכנת כופר אשר בולטת בשל היעדר תכונות הקיימות בדרך כלל בכלי תוכנות כופר אחרים. למאווי, למשל, אין את הערת תוכנת הכופר המוטבעת הרגילה עם מידע לקורבנות כיצד לשחזר את הנתונים שלהם. נראה גם שאין לו פונקציונליות מובנית להעברת מפתחות הצפנה להאקרים באופן אוטומטי.

התוכנה הזדונית במקום מופיעה מיועדת לביצוע ידני, שבו תוקף מרוחק מקיים אינטראקציה עם מאווי דרך ממשק שורת הפקודה ומורה לו להצפין קבצים נבחרים במחשב הנגוע ולחלץ את המפתחות בחזרה אל התוקף. 

Stairwell אמרה כי החוקרים שלה צפו במאווי מצפינת קבצים תוך שימוש בשילוב של סכימות ההצפנה AES, RSA ו-XOR. כל קובץ שנבחר מוצפן תחילה באמצעות AES עם מפתח ייחודי של 16 בתים. לאחר מכן מאווי מצפין כל מפתח AES שנוצר עם הצפנת RSA, ולאחר מכן מצפין את המפתח הציבורי RSA עם XOR. המפתח הפרטי RSA מקודד באמצעות מפתח ציבורי המוטבע בתוכנה הזדונית עצמה.

סילאס קטלר, מהנדס לאחור ראשי ב- Stairwell, אומר שהעיצוב של זרימת העבודה של הצפנת הקבצים של מאווי תואם למדי עם משפחות תוכנות כופר מודרניות אחרות. מה שבאמת שונה הוא היעדר שטר כופר. 

"היעדר פתק כופר מוטבע עם הוראות שחזור הוא תכונה חסרה מרכזית שמבדילה אותו ממשפחות אחרות של תוכנות כופר", אומר קטלר. "פתקי הכופר הפכו לכרטיסי ביקור עבור חלק מקבוצות תוכנות הכופר הגדולות [ולפעמים] מתנוססים במיתוג משלהן." לדבריו, Stairwell עדיין חוקרת כיצד שחקן האיום מתקשר עם הקורבנות ומה בדיוק הדרישות שמועלות.

חוקרי אבטחה אומרים שיש כמה סיבות לכך ששחקן האיום החליט ללכת בדרך הידנית עם מאווי. טים מקגאפין, מנהל הנדסה יריבות ב-Lares Consulting, אומר כי לתוכנות זדוניות בהפעלה ידנית יש סיכוי טוב יותר לחמוק מכלי הגנה מודרניים על נקודות קצה וקבצים קנריים בהשוואה לתוכנות כופר אוטומטיות כלל מערכתיות. 

"על ידי התמקדות בקבצים ספציפיים, התוקפים יכולים לבחור מה רגיש ומה לחלץ בצורה הרבה יותר טקטית בהשוואה לתוכנת כופר 'תרסס והתפלל'", אומר מקגופין. "100% זה מספק גישה חמקנית וכירורגית לתוכנת כופר, ומונעת ממגנים להתריע על תוכנות כופר אוטומטיות, וכן מה שהופך אותו לקשה יותר לשימוש גישות מבוססות תזמון או התנהגות לזיהוי או תגובה."

מנקודת מבט טכנית, מאווי לא משתמש באמצעים מתוחכמים כדי להתחמק מגילוי, אומר קטלר. מה שעלול להפוך אותו לבעייתי נוסף לזיהוי הוא הפרופיל הנמוך שלו.

"היעדר התיאטרליות הנפוצות של תוכנות הכופר - [כגון] הערות כופר [ו] שינוי רקע המשתמש - עלול לגרום לכך שהמשתמשים לא יהיו מודעים מיד לכך שהקבצים שלהם הוצפנו", הוא אומר.

האם מאווי היא הרינג אדום?

אהרון טרנר, CTO ב-Vectra, אומר שהשימוש של שחקן האיום במאווי באופן ידני וסלקטיבי יכול להוות אינדיקציה לכך שיש מניעים אחרים מאחורי הקמפיין מלבד רווח כספי. אם צפון קוריאה באמת נותנת חסות למתקפות הללו, אפשר להעלות על הדעת שתוכנת כופר היא רק מחשבה שלאחר מכן ושהמניעים האמיתיים נמצאים במקום אחר. 

באופן ספציפי, ככל הנראה מדובר בשילוב של גניבת קניין רוחני או ריגול תעשייתי בשילוב עם מונטיזציה אופורטוניסטית של התקפות עם תוכנות כופר.

"לדעתי, השימוש הזה בהצפנה סלקטיבית מונעת מפעיל הוא ככל הנראה אינדיקטור לכך שמסע הפרסום של מאווי הוא לא רק פעילות של תוכנת כופר", אומר טרנר.

המפעילים של מאווי בהחלט לא יהיו הראשונים שישתמשו בתוכנת כופר ככיסוי לגניבת IP ופעילויות אחרות. הדוגמה העדכנית ביותר של תוקף אחר שעושה את אותו הדבר היא ברונזה סטארלייט שבסיסה בסין, שלפי Secureworks נראה שהיא שימוש בתוכנת כופר ככיסוי עבור גניבת IP וריגול סייבר נרחב בחסות הממשלה.

חוקרים אומרים שכדי להגן על עצמם, ארגוני בריאות צריכים להשקיע באסטרטגיית גיבוי מוצקה. האסטרטגיה חייבת לכלול בדיקות שחזור תכופות, לפחות חודשיות, כדי להבטיח שהגיבויים יהיו קיימא, לדברי אבישי אביבי, CISO ב-SafeBreach

"גם ארגוני הבריאות צריכים לנקוט בכל אמצעי הזהירות כדי לפלח את הרשתות שלהם ולבודד סביבות כדי למנוע התפשטות רוחבית של תוכנות כופר", מציין אביבי באימייל. "צעדי היגיינת סייבר בסיסיים אלה הם מסלול טוב בהרבה עבור ארגונים המתכוננים להתקפת תוכנת כופר [ממקום לאגור ביטקוין כדי לשלם כופר]. אנו עדיין רואים שארגונים לא נוקטים בצעדים הבסיסיים שהוזכרו. ... זה, למרבה הצער, אומר שכאשר (לא אם) תוכנת כופר עוברת את בקרות האבטחה שלהם, לא יהיה להם גיבוי מתאים, והתוכנה הזדונית תוכל להתפשט לרוחב דרך הרשתות של הארגון."

Stairwell גם פרסמה חוקים וכלים של YARA שאחרים יכולים להשתמש בהם כדי לפתח זיהויים עבור תוכנת הכופר של Maui.

בול זמן:

עוד מ קריאה אפלה