O FBI, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Departamento do Tesouro alertaram na quarta-feira sobre atores de ameaças patrocinados pelo Estado norte-coreano que visam organizações nos setores de saúde e saúde pública dos EUA. Os ataques estão sendo realizados com uma nova ferramenta de ransomware um tanto incomum e operada manualmente, chamada “Maui”.
Desde maio de 2021, ocorreram vários incidentes em que os agentes de ameaças que operam o malware criptografaram servidores responsáveis por serviços críticos de saúde, incluindo serviços de diagnóstico, servidores de registros eletrônicos de saúde e servidores de imagem em organizações nos setores-alvo. Em alguns casos, os ataques de Maui interromperam os serviços das organizações vítimas durante um período prolongado, afirmaram as três agências num comunicado.
“Os ciberatores patrocinados pelo Estado norte-coreano provavelmente presumem que as organizações de saúde estão dispostas a pagar resgates porque essas organizações prestam serviços que são essenciais para a vida e a saúde humanas”, de acordo com o comunicado. “Por causa desta suposição, o FBI, a CISA e o Tesouro avaliam os atores patrocinados pelo Estado norte-coreano provavelmente continuarão a segmentar [saúde e saúde pública] Organizações do setor.”
Projetado para operação manual
Em uma análise técnica de 6 de julho, a empresa de segurança Stairwell descreveu Maui como um ransomware que se destaca pela falta de recursos comumente presentes em outras ferramentas de ransomware. Maui, por exemplo, não possui a usual nota de ransomware incorporada com informações para as vítimas sobre como recuperar seus dados. Também não parece ter nenhuma funcionalidade integrada para transmitir chaves de criptografia aos hackers de forma automatizada.
O malware em vez disso parece projetado para execução manual, onde um invasor remoto interage com Maui por meio da interface de linha de comando e o instrui a criptografar os arquivos selecionados na máquina infectada e exfiltrar as chaves de volta para o invasor.
Stairwell disse que seus pesquisadores observaram Maui criptografando arquivos usando uma combinação dos esquemas de criptografia AES, RSA e XOR. Cada arquivo selecionado é primeiro criptografado usando AES com uma chave exclusiva de 16 bytes. Maui então criptografa cada chave AES resultante com criptografia RSA e, em seguida, criptografa a chave pública RSA com XOR. A chave privada RSA é codificada usando uma chave pública incorporada no próprio malware.
Silas Cutler, principal engenheiro reverso da Stairwell, diz que o design do fluxo de trabalho de criptografia de arquivos de Maui é bastante consistente com outras famílias modernas de ransomware. O que é realmente diferente é a ausência de uma nota de resgate.
“A falta de uma nota de resgate incorporada com instruções de recuperação é um atributo importante que falta e que o diferencia de outras famílias de ransomware”, diz Cutler. “As notas de resgate tornaram-se cartões de visita para alguns dos grandes grupos de ransomware [e] às vezes são estampadas com sua própria marca.” Ele diz que Stairwell ainda está investigando como o autor da ameaça está se comunicando com as vítimas e exatamente quais demandas estão sendo feitas.
Pesquisadores de segurança dizem que há vários motivos pelos quais o ator da ameaça pode ter decidido seguir o caminho manual com Maui. Tim McGuffin, diretor de engenharia contraditória da Lares Consulting, diz que o malware operado manualmente tem uma chance melhor de escapar das modernas ferramentas de proteção de endpoint e arquivos canário em comparação com o ransomware automatizado em todo o sistema.
“Ao visar arquivos específicos, os invasores podem escolher o que é sensível e o que exfiltrar de uma forma muito mais tática quando comparado a um ransomware 'spray-and-pray'”, diz McGuffin. “Isso 100% fornece uma abordagem furtiva e cirúrgica para ransomware, evitando que os defensores alertem sobre ransomware automatizado e tornando mais difícil de usar abordagens baseadas em tempo ou comportamento para detecção ou resposta.
Do ponto de vista técnico, Maui não utiliza nenhum meio sofisticado para evitar a detecção, diz Cutler. O que poderia torná-lo ainda mais problemático para detecção é seu perfil discreto.
“A falta da teatralidade comum do ransomware – [como] notas de resgate [e] alteração dos antecedentes dos usuários – pode fazer com que os usuários não estejam imediatamente cientes de que seus arquivos foram criptografados”, diz ele.
Maui é uma pista falsa?
Aaron Turner, CTO da Vectra, diz que o uso de Maui pelo agente da ameaça de maneira manual e seletiva pode ser uma indicação de que há outros motivos por trás da campanha além de apenas ganho financeiro. Se a Coreia do Norte estiver realmente a patrocinar estes ataques, é concebível que o ransomware seja apenas uma reflexão tardia e que os verdadeiros motivos estejam noutro lado.
Especificamente, é mais provável que seja uma combinação de roubo de propriedade intelectual ou espionagem industrial combinada com monetização oportunista de ataques com ransomware.
“Na minha opinião, esse uso de criptografia seletiva orientada pelo operador é provavelmente um indicador de que a campanha de Maui não é apenas uma atividade de ransomware”, diz Turner.
Os operadores de Maui certamente não seriam os primeiros a usar ransomware como cobertura para roubo de IP e outras atividades. O exemplo mais recente de outro invasor fazendo o mesmo é o Bronze Starlight, com sede na China, que, de acordo com a Secureworks, parece ser usando ransomware como cobertura por roubo extensivo de IP patrocinado pelo governo e espionagem cibernética.
Os investigadores dizem que, para se protegerem, as organizações de saúde devem investir numa estratégia de backup sólida. A estratégia deve incluir testes de recuperação frequentes, pelo menos mensais, para garantir que os backups sejam viáveis, de acordo com Avishai Avivi, CISO da SafeBreach
“As organizações de saúde também devem tomar todas as precauções para segmentar suas redes e isolar ambientes para evitar a propagação lateral de ransomware”, observa Avivi por e-mail. “Essas etapas básicas de higiene cibernética são um caminho muito melhor para as organizações que se preparam para um ataque de ransomware [do que armazenar Bitcoins para pagar um resgate]. Ainda vemos organizações que não conseguem seguir as etapas básicas mencionadas. … Isso, infelizmente, significa que quando (e não se) o ransomware passar pelos controles de segurança, eles não terão um backup adequado e o software malicioso será capaz de se espalhar lateralmente pelas redes da organização.”
Stairwell também lançou regras e ferramentas YARA que outros podem usar para desenvolver detecções para o ransomware Maui.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
