De FBI, de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het ministerie van Financiën hebben woensdag gewaarschuwd voor door de Noord-Koreaanse staat gesteunde dreigingsactoren die zich richten op organisaties in de Amerikaanse gezondheidszorg en de volksgezondheidssector. De aanvallen worden uitgevoerd met een ietwat ongebruikelijke, handmatig bediende nieuwe ransomware-tool genaamd 'Maui'.
Sinds mei 2021 zijn er meerdere incidenten geweest waarbij dreigingsactoren die de malware gebruiken, servers hebben versleuteld die verantwoordelijk zijn voor kritieke gezondheidszorgdiensten, waaronder diagnostische diensten, servers voor elektronische patiëntendossiers en beeldvormingsservers bij organisaties in de beoogde sectoren. In sommige gevallen hebben de Maui-aanvallen de dienstverlening bij de slachtofferorganisaties voor een langere periode verstoord, zeiden de drie instanties in een advies.
"De door de Noord-Koreaanse staat gesponsorde cyberactoren gaan er waarschijnlijk van uit dat zorgorganisaties bereid zijn losgeld te betalen omdat deze organisaties diensten leveren die cruciaal zijn voor het leven en de gezondheid van mensen", aldus het advies. “Vanwege deze veronderstelling beoordelen de FBI, CISA en Treasury door de Noord-Koreaanse staat gesponsorde actoren zullen waarschijnlijk blijven targeten [gezondheidszorg en volksgezondheid] Sectororganisaties.”
Ontworpen voor handmatige bediening
In een technische analyse op 6 juli beschreef beveiligingsbedrijf Stairwell Maui als ransomware die opvalt door het ontbreken van functies die vaak aanwezig zijn in andere ransomware-tools. Maui heeft bijvoorbeeld niet de gebruikelijke embedded ransomware-notitie met informatie voor slachtoffers over hoe ze hun gegevens kunnen herstellen. Het lijkt ook geen ingebouwde functionaliteit te hebben voor het automatisch verzenden van encryptiesleutels naar de hackers.
De malware in plaats daarvan lijkt ontworpen voor handmatige uitvoering, waarbij een aanvaller op afstand met Maui communiceert via de opdrachtregelinterface en hem instrueert om geselecteerde bestanden op de geïnfecteerde machine te versleutelen en de sleutels terug naar de aanvaller te exfiltreren.
Stairwell zei dat zijn onderzoekers Maui zagen die bestanden versleutelde met een combinatie van de AES-, RSA- en XOR-coderingsschema's. Elk geselecteerd bestand wordt eerst versleuteld met AES met een unieke 16-byte sleutel. Maui versleutelt vervolgens elke resulterende AES-sleutel met RSA-codering en versleutelt vervolgens de openbare RSA-sleutel met XOR. De RSA-privésleutel wordt gecodeerd met behulp van een openbare sleutel die is ingebed in de malware zelf.
Silas Cutler, principal reverse engineer bij Stairwell, zegt dat het ontwerp van Maui's bestandsversleutelingsworkflow redelijk consistent is met andere moderne ransomware-families. Wat echt anders is, is de afwezigheid van een losgeldbrief.
"Het ontbreken van een ingesloten losgeldbrief met herstelinstructies is een belangrijk ontbrekend kenmerk dat het onderscheidt van andere ransomware-families", zegt Cutler. "Losgeldbriefjes zijn visitekaartjes geworden voor sommige van de grote ransomware-groepen [en zijn] soms versierd met hun eigen branding." Hij zegt dat Stairwell nog onderzoekt hoe de dreigingsactor met slachtoffers communiceert en welke eisen er precies worden gesteld.
Beveiligingsonderzoekers zeggen dat er verschillende redenen zijn waarom de dreigingsactor zou hebben besloten om de handmatige route met Maui te gaan. Tim McGuffin, directeur van adversarial engineering bij Lares Consulting, zegt dat handmatig bediende malware een grotere kans heeft om moderne endpointbeveiligingstools en canary-bestanden te omzeilen in vergelijking met geautomatiseerde, systeembrede ransomware.
"Door zich op specifieke bestanden te richten, kunnen de aanvallers kiezen wat gevoelig is en wat ze willen exfiltreren op een veel tactischere manier in vergelijking met een 'spray-and-pray'-ransomware", zegt McGuffin. “Deze 100% biedt een stealth en chirurgische benadering van ransomware, waardoor verdedigers niet kunnen waarschuwen voor geautomatiseerde ransomware, en waardoor het moeilijker te gebruiken is timing of op gedrag gebaseerde benaderingen voor detectie of reactie.”
Vanuit technisch oogpunt gebruikt Maui geen geavanceerde middelen om detectie te omzeilen, zegt Cutler. Wat het extra problematisch zou kunnen maken voor detectie, is het lage profiel.
"Het ontbreken van de gebruikelijke ransomware-theatrics - [zoals] losgeldbriefjes [en] veranderende gebruikersachtergronden - kan ertoe leiden dat gebruikers niet meteen weten dat hun bestanden zijn versleuteld", zegt hij.
Is Maui een rode haring?
Aaron Turner, CTO bij Vectra, zegt dat het handmatige en selectieve gebruik van Maui door de dreigingsactor een indicatie kan zijn dat er andere motieven achter de campagne zitten dan alleen financieel gewin. Als Noord-Korea deze aanvallen echt sponsort, is het denkbaar dat ransomware slechts een bijzaak is en dat de echte motieven elders liggen.
In het bijzonder is het hoogstwaarschijnlijk een combinatie van diefstal van intellectueel eigendom of industriële spionage in combinatie met opportunistische inkomsten genereren met aanvallen met ransomware.
"Naar mijn mening is dit gebruik van operatorgestuurde selectieve versleuteling hoogstwaarschijnlijk een indicator dat de Maui-campagne niet alleen een ransomware-activiteit is", zegt Turner.
De operators van Maui zouden zeker niet de eersten zijn die ransomware gebruiken als dekmantel voor IP-diefstal en andere activiteiten. Het meest recente voorbeeld van een andere aanvaller die hetzelfde doet, is het in China gevestigde Bronze Starlight, dat volgens Secureworks ransomware gebruiken als dekking voor uitgebreide door de overheid gesponsorde IP-diefstal en cyberspionage.
Onderzoekers zeggen dat zorgorganisaties, om zichzelf te beschermen, moeten investeren in een solide back-upstrategie. Volgens Avishai Avivi, CISO bij SafeBreach moet de strategie frequente, ten minste maandelijkse hersteltests omvatten om ervoor te zorgen dat de back-ups levensvatbaar zijn.
"Zorgorganisaties moeten ook alle voorzorgsmaatregelen nemen om hun netwerken te segmenteren en omgevingen te isoleren om de zijwaartse verspreiding van ransomware te voorkomen", merkt Avivi op in een e-mail. “Deze basisstappen voor cyberhygiëne zijn een veel betere route voor organisaties die zich voorbereiden op een ransomware-aanval [dan het aanleggen van voorraden Bitcoins om losgeld te betalen]. We zien nog steeds dat organisaties de genoemde basisstappen niet nemen. … Dit betekent helaas dat wanneer (niet als) ransomware voorbij hun beveiligingscontroles komt, ze geen goede back-up hebben en de schadelijke software zich lateraal via de netwerken van de organisatie kan verspreiden.”
Stairwell heeft ook YARA-regels en -hulpmiddelen vrijgegeven die anderen kunnen gebruiken om detecties voor de Maui-ransomware te ontwikkelen.
