FBI, amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oraz Departament Skarbu ostrzegły w środę przed północnokoreańskimi ugrupowaniami terrorystycznymi, które atakują organizacje z sektora opieki zdrowotnej i zdrowia publicznego w USA. Ataki są przeprowadzane za pomocą nieco nietypowego, ręcznie obsługiwanego nowego narzędzia ransomware o nazwie „Maui”.
Od maja 2021 r. doszło do wielu incydentów, w których cyberprzestępcy obsługujący szkodliwe oprogramowanie zaszyfrowali serwery odpowiedzialne za krytyczne usługi opieki zdrowotnej, w tym usługi diagnostyczne, serwery elektronicznej dokumentacji medycznej i serwery obrazowania w organizacjach w docelowych sektorach. W niektórych przypadkach ataki Maui zakłóciły usługi w organizacjach ofiar na dłuższy czas, poinformowały trzy agencje w poradniku.
„Sponsorowani przez państwo północnokoreańscy aktorzy cybernetyczni prawdopodobnie zakładają, że organizacje opieki zdrowotnej są skłonne zapłacić okup, ponieważ organizacje te świadczą usługi o kluczowym znaczeniu dla życia i zdrowia ludzkiego” – czytamy w poradniku. „Z powodu tego założenia FBI, CISA i Ministerstwo Skarbu oceniają północnokoreańskich aktorów sponsorowanych przez państwo prawdopodobnie będą nadal celować [ochrona zdrowia i zdrowie publiczne] Organizacje branżowe.”
Zaprojektowany do obsługi ręcznej
W analizie technicznej z 6 lipca firma ochroniarska Stairwell opisała Maui jako oprogramowanie ransomware, które wyróżnia się brakiem funkcji, które są powszechnie obecne w innych narzędziach ransomware. Na przykład Maui nie ma zwykle wbudowanej notatki dotyczącej oprogramowania ransomware z informacjami dla ofiar, jak odzyskać swoje dane. Wydaje się również, że nie ma wbudowanej funkcji przesyłania kluczy szyfrujących hakerom w sposób zautomatyzowany.
Złośliwe oprogramowanie zamiast tego wydaje się być przeznaczony do ręcznego wykonania, gdzie zdalny atakujący wchodzi w interakcję z Maui za pośrednictwem interfejsu wiersza poleceń i instruuje go, aby zaszyfrował wybrane pliki na zainfekowanej maszynie i wydobył klucze z powrotem do atakującego.
Stairwell powiedział, że jego badacze obserwowali, jak Maui szyfruje pliki przy użyciu kombinacji schematów szyfrowania AES, RSA i XOR. Każdy wybrany plik jest najpierw szyfrowany przy użyciu algorytmu AES z unikalnym 16-bajtowym kluczem. Następnie Maui szyfruje każdy wynikowy klucz AES za pomocą szyfrowania RSA, a następnie szyfruje klucz publiczny RSA za pomocą XOR. Klucz prywatny RSA jest kodowany przy użyciu klucza publicznego wbudowanego w samo złośliwe oprogramowanie.
Silas Cutler, główny inżynier wsteczny w Stairwell, mówi, że projekt przepływu pracy szyfrowania plików Maui jest dość spójny z innymi nowoczesnymi rodzinami oprogramowania ransomware. To, co naprawdę się różni, to brak żądania okupu.
„Brak osadzonego żądania okupu z instrukcjami odzyskiwania jest kluczowym brakującym atrybutem, który odróżnia go od innych rodzin oprogramowania ransomware” — mówi Cutler. „Żądania okupu stały się wizytówkami niektórych dużych grup ransomware [i] są czasami opatrzone ich własną marką”. Mówi, że Stairwell wciąż bada, w jaki sposób cyberprzestępca komunikuje się z ofiarami i jakie dokładnie wymagania są stawiane.
Badacze bezpieczeństwa twierdzą, że istnieje kilka powodów, dla których ugrupowanie cyberprzestępcze mogło zdecydować się na ręczną drogę z Maui. Tim McGuffin, dyrektor ds. inżynierii kontradyktoryjnej w Lares Consulting, mówi, że ręcznie obsługiwane złośliwe oprogramowanie ma większe szanse na uniknięcie nowoczesnych narzędzi do ochrony punktów końcowych i plików kanarkowych w porównaniu z automatycznym oprogramowaniem ransomware obejmującym cały system.
„Obierając za cel określone pliki, osoby atakujące mogą wybrać, co jest wrażliwe, a co eksfiltrować w sposób znacznie bardziej taktyczny w porównaniu z oprogramowaniem ransomware typu „spray-and-pray”” — mówi McGuffin. „To 100% zapewnia ukradkowe i chirurgiczne podejście do oprogramowania ransomware, uniemożliwiając obrońcom ostrzeganie o zautomatyzowanym oprogramowaniu ransomware i utrudniając korzystanie z niego podejścia oparte na czasie lub zachowaniu do wykrywania lub reagowania”.
Cutler mówi, że z technicznego punktu widzenia Maui nie stosuje żadnych wyrafinowanych środków, aby uniknąć wykrycia. To, co może dodatkowo utrudnić wykrywanie, to jego niski profil.
„Brak typowych sztuczek ransomware — [takich jak] żądanie okupu [i] zmieniające się pochodzenie użytkownika — może spowodować, że użytkownicy nie będą od razu świadomi, że ich pliki zostały zaszyfrowane” — mówi.
Czy Maui to czerwony śledź?
Aaron Turner, CTO w Vectra, mówi, że wykorzystywanie Maui przez cyberprzestępców w sposób ręczny i selektywny może wskazywać, że za kampanią stoją inne motywy niż tylko zysk finansowy. Jeśli Korea Północna naprawdę sponsoruje te ataki, można sobie wyobrazić, że oprogramowanie ransomware jest tylko refleksją, a prawdziwe motywy leżą gdzie indziej.
W szczególności jest to najprawdopodobniej połączenie kradzieży własności intelektualnej lub szpiegostwa przemysłowego z oportunistyczną monetyzacją ataków za pomocą oprogramowania ransomware.
„Moim zdaniem to użycie selektywnego szyfrowania sterowanego przez operatora jest najprawdopodobniej wskaźnikiem tego, że kampania Maui to nie tylko działanie ransomware” – mówi Turner.
Operatorzy z Maui z pewnością nie byliby pierwszymi, którzy wykorzystaliby oprogramowanie ransomware jako przykrywkę dla kradzieży własności intelektualnej i innych działań. Najnowszym przykładem innego atakującego, który robi to samo, jest Bronze Starlight z siedzibą w Chinach, który według Secureworks wydaje się być używając oprogramowania ransomware jako przykrywki za szeroko zakrojoną kradzież własności intelektualnej sponsorowaną przez rząd i cyberszpiegostwo.
Naukowcy twierdzą, że aby się chronić, organizacje opieki zdrowotnej powinny zainwestować w solidną strategię tworzenia kopii zapasowych. Według Avishai Avivi, CISO w SafeBreach, strategia musi obejmować częste, co najmniej raz w miesiącu, testy odzyskiwania, aby upewnić się, że kopie zapasowe są wykonalne.
„Organizacje opieki zdrowotnej powinny również podjąć wszelkie środki ostrożności, aby podzielić swoje sieci i odizolować środowiska, aby zapobiec bocznemu rozprzestrzenianiu się oprogramowania ransomware”, zauważa Avivi w e-mailu. „Te podstawowe kroki higieny cybernetycznej są znacznie lepszą drogą dla organizacji przygotowujących się do ataku ransomware [niż gromadzenie bitcoinów w celu zapłacenia okupu]. Nadal widzimy, że organizacje nie podejmują wspomnianych podstawowych kroków. … To niestety oznacza, że kiedy (nie jeśli) ransomware przejdzie przez kontrolę bezpieczeństwa, nie będą mieli odpowiedniej kopii zapasowej, a złośliwe oprogramowanie będzie mogło rozprzestrzeniać się poprzecznie przez sieci organizacji”.
Stairwell udostępnił również zasady i narzędzia YARA, których inni mogą używać do opracowywania wykrywania oprogramowania ransomware Maui.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
