FBI, 미국 사이버보안 및 인프라 보안국(CISA), 재무부는 수요일 미국 의료 및 공중보건 부문의 조직을 표적으로 삼는 북한 정부 지원 위협 행위자에 대해 경고했습니다. 공격은 "Maui"라고 불리는 다소 특이하고 수동으로 작동되는 새로운 랜섬웨어 도구를 사용하여 수행되고 있습니다.
2021년 XNUMX월부터 악성 코드를 운영하는 위협 행위자가 대상 부문의 조직에서 진단 서비스, 전자 건강 기록 서버, 이미징 서버 등 중요한 의료 서비스를 담당하는 서버를 암호화한 사건이 여러 건 발생했습니다. 어떤 경우에는 마우이 공격으로 인해 피해자 조직의 서비스가 장기간 중단되었다고 세 기관이 권고했습니다.
권고문에 따르면 “북한 정부가 후원하는 사이버 행위자들은 의료 기관이 인간의 생명과 건강에 필수적인 서비스를 제공하기 때문에 몸값을 기꺼이 지불할 것이라고 가정할 가능성이 높습니다.”라고 합니다. “이런 가정 때문에 FBI, CISA, 재무부는 북한 정부가 후원하는 행위자를 평가합니다. 계속해서 타겟팅할 가능성이 높습니다. [의료 및 공중 보건] 부문 조직.”
수동 작동을 위해 설계됨
보안 회사인 Stairwell은 6월 XNUMX일 기술 분석에서 마우이를 다른 랜섬웨어 도구에 일반적으로 존재하는 기능이 부족한 랜섬웨어로 묘사했습니다. 예를 들어, 마우이(Maui)에는 피해자를 위한 데이터 복구 방법에 대한 정보가 포함된 일반적인 랜섬웨어 메모가 내장되어 있지 않습니다. 또한 자동화된 방식으로 해커에게 암호화 키를 전송하는 기능이 내장되어 있지 않은 것으로 보입니다.
대신 악성코드 수동 실행을 위해 설계된 것으로 나타납니다., 원격 공격자가 명령줄 인터페이스를 통해 마우이와 상호 작용하고 감염된 시스템에서 선택한 파일을 암호화하고 키를 공격자에게 다시 유출하도록 지시합니다.
Stairwell은 연구원들이 Maui가 AES, RSA 및 XOR 암호화 방식을 조합하여 파일을 암호화하는 것을 관찰했다고 말했습니다. 선택한 각 파일은 먼저 고유한 16바이트 키가 있는 AES를 사용하여 암호화됩니다. 그런 다음 Maui는 RSA 암호화를 사용하여 각 결과 AES 키를 암호화한 다음 XOR을 사용하여 RSA 공개 키를 암호화합니다. RSA 개인 키는 악성코드 자체에 내장된 공개 키를 사용하여 인코딩됩니다.
Stairwell의 수석 리버스 엔지니어인 Silas Cutler는 Maui의 파일 암호화 워크플로 설계가 다른 최신 랜섬웨어 제품군과 상당히 일치한다고 말합니다. 실제로 다른 점은 몸값 메모가 없다는 것입니다.
Cutler는 “복구 지침이 포함된 랜섬 메모가 내장되어 있지 않다는 점은 다른 랜섬웨어 제품군과 구별되는 주요 누락 속성입니다.”라고 말합니다. “랜섬 메시지는 일부 대규모 랜섬웨어 그룹의 명함이 되었으며 때로는 자체 브랜드가 새겨져 있습니다.” 그는 Stairwell이 위협 행위자가 피해자와 어떻게 소통하고 있는지, 그리고 정확히 어떤 요구가 이루어지고 있는지 계속 조사하고 있다고 말했습니다.
보안 연구원들은 위협 행위자가 마우이를 수동으로 공격하기로 결정한 데에는 몇 가지 이유가 있다고 말합니다. Lares Consulting의 적대적 엔지니어링 이사인 Tim McGuffin은 수동으로 작동하는 악성 코드가 자동화된 시스템 전체 랜섬웨어에 비해 최신 엔드포인트 보호 도구와 카나리아 파일을 회피할 가능성이 더 높다고 말합니다.
McGuffin은 “공격자는 특정 파일을 표적으로 삼아 '스프레이 앤 프레이' 랜섬웨어에 비해 훨씬 더 전술적인 방식으로 민감한 파일과 유출할 파일을 선택할 수 있습니다."라고 말했습니다. “이 100%는 랜섬웨어에 대한 은밀하고 수술적인 접근 방식을 제공하여 방어자가 자동화된 랜섬웨어에 대해 경고하는 것을 방지합니다. 사용하기가 더 어려워집니다 탐지 또는 대응에 대한 타이밍 또는 행동 기반 접근 방식입니다.”
기술적인 관점에서 볼 때 마우이는 탐지를 회피하기 위해 정교한 수단을 활용하지 않는다고 Cutler는 말합니다. 탐지에 추가로 문제를 일으킬 수 있는 것은 프로필이 낮기 때문입니다.
“몸값 메모 [및] 사용자 배경 변경과 같은 일반적인 랜섬웨어 연극의 부족으로 인해 사용자는 자신의 파일이 암호화되었다는 사실을 즉시 인식하지 못할 수 있습니다.”라고 그는 말합니다.
마우이는 붉은 청어인가요?
Vectra의 CTO인 Aaron Turner는 위협 행위자가 수동적이고 선택적인 방식으로 마우이를 사용하는 것은 금전적인 이득이 아닌 다른 동기가 있음을 나타내는 것일 수 있다고 말합니다. 북한이 실제로 이러한 공격을 후원하고 있다면 랜섬웨어는 나중에 생각한 것일 뿐이고 실제 동기는 다른 곳에 있다고 생각할 수 있습니다.
특히 지적 재산 도용이나 산업 스파이 활동이 랜섬웨어 공격을 통한 기회주의적 수익 창출과 결합되었을 가능성이 높습니다.
Turner는 “제 생각에는 운영자 중심의 선택적 암호화를 사용하는 것은 마우이 캠페인이 단순한 랜섬웨어 활동이 아니라는 지표일 가능성이 높습니다.”라고 말합니다.
IP 도용 및 기타 활동을 은폐하기 위해 랜섬웨어를 사용하는 것은 마우이의 운영자가 처음은 아닙니다. 동일한 작업을 수행하는 또 다른 공격자의 가장 최근 사례는 중국에 본사를 둔 Bronze Starlight입니다. Secureworks에 따르면 이 공격은 랜섬웨어를 은폐물로 사용 정부가 후원하는 광범위한 IP 도용 및 사이버 스파이 활동을 위해.
연구자들은 의료 기관이 스스로를 보호하기 위해서는 견고한 백업 전략에 투자해야 한다고 말합니다. SafeBreach의 CISO인 Avishai Avivi에 따르면, 전략에는 백업이 실행 가능한지 확인하기 위해 빈번한(최소 월 XNUMX회) 복구 테스트가 포함되어야 합니다.
Avevi는 이메일에서 “의료 기관은 랜섬웨어의 측면 확산을 방지하기 위해 네트워크를 분할하고 환경을 격리하는 데 모든 예방 조치를 취해야 합니다.”라고 밝혔습니다. “이러한 기본적인 사이버 위생 조치는 [몸값을 지불하기 위해 비트코인을 비축하는 것보다] 랜섬웨어 공격을 준비하는 조직에게 훨씬 더 나은 경로입니다. 우리는 여전히 조직이 언급된 기본 조치를 취하지 못하는 것을 목격하고 있습니다. … 이는 불행하게도 랜섬웨어가 보안 제어를 통과할 경우 적절한 백업을 할 수 없게 되고 악성 소프트웨어가 조직의 네트워크를 통해 측면으로 확산될 수 있음을 의미합니다.”
Stairwell은 또한 다른 사람들이 마우이 랜섬웨어에 대한 탐지를 개발하는 데 사용할 수 있는 YARA 규칙과 도구를 출시했습니다.
