FBI, US Cybersecurity and Infrastructure Security Agency (CISA) og finansdepartementet advarte onsdag om nordkoreanske statsstøttede trusselaktører som retter seg mot organisasjoner i den amerikanske helse- og folkehelsesektoren. Angrepene utføres med et noe uvanlig, manuelt operert nytt løsepengeverktøy kalt «Maui».
Siden mai 2021 har det vært flere hendelser der trusselaktører som driver skadelig programvare har kryptert servere som er ansvarlige for kritiske helsetjenester, inkludert diagnostiske tjenester, elektroniske helsejournalservere og bildeservere hos organisasjoner i de målrettede sektorene. I noen tilfeller forstyrret Maui-angrepene tjenestene til offerorganisasjonene i en lengre periode, sa de tre byråene i et råd.
"De nordkoreanske statsstøttede cyberaktørene antar sannsynligvis at helseorganisasjoner er villige til å betale løsepenger fordi disse organisasjonene tilbyr tjenester som er kritiske for menneskers liv og helse," ifølge rådet. "På grunn av denne antakelsen vurderer FBI, CISA og finansdepartementet nordkoreanske statsstøttede aktører vil sannsynligvis fortsette målrettingen [helse og folkehelse] Sektororganisasjoner."
Designet for manuell drift
I en teknisk analyse 6. juli beskrev sikkerhetsfirmaet Stairwell Maui som løsepengeprogramvare som er kjent for å mangle funksjoner som vanligvis finnes i andre løsepengeverktøy. Maui, for eksempel, har ikke den vanlige innebygde løsepengevare-lappen med informasjon for ofre om hvordan de kan gjenopprette dataene deres. Den ser heller ikke ut til å ha noen innebygd funksjonalitet for å overføre krypteringsnøkler til hackerne på automatisert måte.
Skadevare i stedet vises designet for manuell utførelse, der en ekstern angriper samhandler med Maui via kommandolinjegrensesnittet og instruerer den til å kryptere utvalgte filer på den infiserte maskinen og eksfiltrere nøklene tilbake til angriperen.
Stairwell sa at forskerne deres observerte Maui kryptering av filer ved å bruke en kombinasjon av AES-, RSA- og XOR-krypteringsskjemaene. Hver valgt fil blir først kryptert ved hjelp av AES med en unik 16-byte nøkkel. Maui krypterer deretter hver resulterende AES-nøkkel med RSA-kryptering, og krypterer deretter den offentlige RSA-nøkkelen med XOR. Den private RSA-nøkkelen er kodet ved hjelp av en offentlig nøkkel innebygd i selve skadevaren.
Silas Cutler, rektor omvendt ingeniør ved Stairwell, sier at utformingen av Mauis filkrypteringsarbeidsflyt er ganske konsistent med andre moderne løsepengevarefamilier. Det som virkelig er annerledes er fraværet av løsepenger.
"Mangelen på en innebygd løsepengenotat med gjenopprettingsinstruksjoner er en viktig manglende egenskap som skiller den fra andre løsepenge-familier," sier Cutler. "Løsepenger har blitt visittkort for noen av de store løsepengevaregruppene [og er noen ganger utsmykket med sin egen merkevarebygging." Han sier Stairwell fortsatt undersøker hvordan trusselaktøren kommuniserer med ofre og nøyaktig hvilke krav som stilles.
Sikkerhetsforskere sier at det er flere grunner til at trusselaktøren kan ha bestemt seg for å gå den manuelle ruten med Maui. Tim McGuffin, direktør for adversarial engineering hos Lares Consulting, sier at manuelt operert skadelig programvare har en bedre sjanse til å unngå moderne endepunktbeskyttelsesverktøy og kanarifiler sammenlignet med automatisert, systemomfattende løsepengevare.
"Ved å målrette mot spesifikke filer får angriperne velge hva som er sensitivt og hva som skal eksfiltreres på en mye mer taktisk måte sammenlignet med en "spray-and-pray" løsepengeprogramvare, sier McGuffin. "Denne 100 % gir en skjult og kirurgisk tilnærming til løsepengevare, og forhindrer forsvarere fra å varsle om automatisert løsepengevare, og gjør det vanskeligere å bruke timing eller atferdsbaserte tilnærminger til deteksjon eller respons."
Fra et teknisk synspunkt bruker ikke Maui noen sofistikerte midler for å unngå oppdagelse, sier Cutler. Det som kan gjøre det ekstra problematisk for deteksjon er dens lave profil.
"Mangelen på den vanlige løsepengevare-teatrikken - [som] løsepenger [og] endring av brukerbakgrunn - kan føre til at brukere ikke umiddelbart er klar over at filene deres er kryptert," sier han.
Er Maui en rød sild?
Aaron Turner, CTO i Vectra, sier trusselaktørens bruk av Maui på en manuell og selektiv måte kan være en indikasjon på at det er andre motiver bak kampanjen enn bare økonomisk gevinst. Hvis Nord-Korea virkelig sponser disse angrepene, kan det tenkes at løsepengevare bare er en ettertanke og at de virkelige motivene ligger andre steder.
Nærmere bestemt er det mest sannsynlig en kombinasjon av tyveri av intellektuell eiendom eller industrispionasje kombinert med opportunistisk inntektsgenerering av angrep med løsepengeprogramvare.
"Etter min mening er denne bruken av operatørdrevet selektiv kryptering mest sannsynlig en indikator på at Maui-kampanjen ikke bare er en løsepenge-aktivitet," sier Turner.
Operatørene til Maui ville absolutt ikke vært de første til å bruke løsepengevare som dekning for IP-tyveri og andre aktiviteter. Det siste eksemplet på en annen angriper som gjør det samme er Kina-baserte Bronze Starlight, som ifølge Secureworks ser ut til å være bruke løsepengevare som dekning for omfattende statlig sponset IP-tyveri og nettspionasje.
Forskere sier at for å beskytte seg selv, bør helseorganisasjoner investere i en solid backup-strategi. Strategien må inkludere hyppige, minst månedlige, gjenopprettingstesting for å sikre at sikkerhetskopiene er levedyktige, ifølge Avishai Avivi, CISO hos SafeBreach
"Helseorganisasjoner bør også ta alle forholdsregler for å segmentere nettverkene sine og isolere miljøer for å forhindre sideveis spredning av løsepengevare," bemerker Avivi i en e-post. "Disse grunnleggende cyberhygienetrinnene er en mye bedre rute for organisasjoner som forbereder seg på et løsepenge-angrep [enn å lagre Bitcoins for å betale løsepenger]. Vi ser fortsatt at organisasjoner ikke klarer å ta de grunnleggende grepene som er nevnt. … Dette betyr dessverre at når (ikke hvis) løsepengevare kommer forbi sikkerhetskontrollene deres, vil de ikke ha en skikkelig sikkerhetskopi, og den skadelige programvaren vil kunne spre seg sideveis gjennom organisasjonens nettverk.»
Stairwell har også gitt ut YARA-regler og verktøy som andre kan bruke til å utvikle deteksjoner for Maui-ransomware.
