FBI、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA)、および財務省は水曜日、米国の医療および公衆衛生部門の組織を標的とする北朝鮮の国家支援の脅威アクターについて警告しました。 攻撃は、「Maui」と呼ばれる、やや変わった手動操作の新しいランサムウェア ツールを使用して行われています。
2021 年 XNUMX 月以降、マルウェアを操作する脅威アクターが、標的とされたセクターの組織の診断サービス、電子カルテ サーバー、画像サーバーなど、重要なヘルスケア サービスを担当するサーバーを暗号化するインシデントが複数発生しています。 場合によっては、マウイ島の攻撃により、被害を受けた組織のサービスが長期間にわたって中断された、と XNUMX つの機関は勧告で述べています。
勧告によると、「北朝鮮が支援するサイバー攻撃者は、医療機関が人の命と健康に不可欠なサービスを提供しているため、身代金を喜んで支払うと想定している可能性が高い」とのことです。 「この仮定のために、FBI、CISA、および財務省は、北朝鮮政府が支援する俳優を評価します。 ターゲティングを継続する可能性が高い [ヘルスケアと公衆衛生] セクター組織。
手動操作用に設計
6 月 XNUMX 日のテクニカル分析で、セキュリティ会社の Stairwell は、他のランサムウェア ツールに一般的に存在する機能を欠いていることで注目に値するランサムウェアとして Maui を説明しました。 たとえば、マウイには、被害者がデータを回復する方法に関する情報が記載された、通常のランサムウェアのメモが埋め込まれていません。 また、自動化された方法で暗号化キーをハッカーに送信する組み込み機能もないようです。
代わりにマルウェア 手動実行用に設計されているようですで、リモートの攻撃者がコマンド ライン インターフェースを介して Maui と対話し、感染したマシン上の選択したファイルを暗号化し、キーを攻撃者に戻すように指示します。
Stairwell の研究者は、Maui が AES、RSA、および XOR 暗号化方式を組み合わせてファイルを暗号化していることを観察したと述べています。 選択した各ファイルは、最初に AES を使用して一意の 16 バイト キーで暗号化されます。 その後、Maui は、生成された各 AES キーを RSA 暗号化で暗号化し、RSA 公開キーを XOR で暗号化します。 RSA 秘密鍵は、マルウェア自体に埋め込まれた公開鍵を使用してエンコードされます。
Stairwell のプリンシパル リバース エンジニアである Silas Cutler 氏は、Maui のファイル暗号化ワークフローの設計は、他の最新のランサムウェア ファミリとかなり一致していると述べています。 本当に違うのは、身代金メモがないことです。
「回復手順が記載された身代金メモが埋め込まれていないことは、他のランサムウェア ファミリと一線を画す重要な欠落属性です」と Cutler 氏は言います。 「身代金メモは、いくつかの大規模なランサムウェア グループのコーリング カードになり、独自のブランドで飾られていることもあります。」 Stairwell は、脅威アクターが被害者とどのように通信しているか、正確にはどのような要求がなされているかをまだ調査していると彼は言います。
セキュリティ研究者は、攻撃者が Maui で手動ルートを選択した理由がいくつかあると述べています。 Lares Consulting の敵対的エンジニアリング ディレクターである Tim McGuffin 氏は、手動で操作されるマルウェアは、自動化されたシステム全体のランサムウェアと比較して、最新のエンドポイント保護ツールとカナリア ファイルを回避する可能性が高いと述べています。
「攻撃者は、特定のファイルを標的にすることで、『スプレー アンド プレイ』ランサムウェアと比較して、より戦術的な方法で機密性の高いファイルと抽出するファイルを選択できます」と McGuffin 氏は言います。 「この 100% は、ランサムウェアに対するステルスで外科的なアプローチを提供し、防御者が自動化されたランサムウェアについて警告するのを防ぎます。 より使いにくくする 検出または対応へのタイミングまたは行動ベースのアプローチ。」
技術的な観点から、マウイは検出を回避するための高度な手段を一切使用していないとカトラーは言います。 検出でさらに問題になる可能性があるのは、その目立たないことです。
「身代金メモやユーザー背景の変更など、一般的なランサムウェア シアターがないため、ユーザーは自分のファイルが暗号化されていることにすぐに気付かない可能性があります」と彼は言います。
マウイ島は赤いニシンですか?
Vectra の CTO である Aaron Turner は、攻撃者が Maui を手動で選択的に使用していることは、金銭的利益以外の動機がキャンペーンの背後にあることを示している可能性があると述べています。 北朝鮮が本当にこれらの攻撃を後援しているのであれば、ランサムウェアは後付けにすぎず、本当の動機は別のところにあると考えられます。
具体的には、知的財産の窃盗または産業スパイ活動と、ランサムウェアによる攻撃の日和見的な収益化の組み合わせである可能性が最も高い.
「私の意見では、オペレーター主導の選択的暗号化のこの使用は、マウイのキャンペーンが単なるランサムウェア活動ではないことを示している可能性が最も高いです」とターナーは言います.
Maui のオペレーターは、IP の盗難やその他の活動の隠れ蓑としてランサムウェアを使用した最初の企業ではありません。 同じことを行っている別の攻撃者の最新の例は、中国を拠点とする Bronze Starlight です。Secureworks によると、これは ランサムウェアを隠れ蓑に使う 政府が後援する大規模な IP 窃盗とサイバー スパイ活動に対応します。
研究者によると、医療機関は自分自身を守るために、しっかりしたバックアップ戦略に投資する必要があります。 SafeBreach の CISO である Avishai Avevi 氏によると、この戦略には、バックアップが実行可能であることを確認するために、少なくとも月 XNUMX 回の頻繁な復旧テストが含まれている必要があります。
「医療機関は、ランサムウェアの横方向の拡散を防ぐために、ネットワークをセグメント化し、環境を分離するためにあらゆる予防策を講じる必要もあります」と、Avivi は電子メールで指摘しています。 「これらの基本的なサイバー衛生手順は、ランサムウェア攻撃に備える組織にとって [身代金を支払うためにビットコインを備蓄するよりも] はるかに優れた方法です。 前述の基本的な手順を踏んでいない組織がいまだに見られます。 …残念ながら、これは、ランサムウェアがセキュリティ制御を通過した場合 (ない場合ではない)、適切なバックアップがなく、悪意のあるソフトウェアが組織のネットワークを介して横方向に拡散できることを意味します。」
Stairwell は、Maui ランサムウェアの検出を開発するために他の人が使用できる YARA ルールとツールもリリースしました。
