ФБР, Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) и Министерство финансов в среду предупредили о спонсируемых северокорейским государством угрозах, нацеленных на организации в секторах здравоохранения и общественного здравоохранения США. Атаки осуществляются с помощью несколько необычного, управляемого вручную нового инструмента-вымогателя под названием «Maui».
С мая 2021 года произошло несколько инцидентов, когда злоумышленники, использующие вредоносное ПО, зашифровали серверы, отвечающие за критически важные медицинские услуги, включая службы диагностики, серверы электронных медицинских карт и серверы изображений в организациях в целевых секторах. В некоторых случаях нападения на Мауи прерывали работу организаций-жертв на длительный период, говорится в бюллетене трех агентств.
«Киберсубъекты, спонсируемые государством Северной Кореи, вероятно, предполагают, что организации здравоохранения готовы платить выкуп, потому что эти организации предоставляют услуги, которые имеют решающее значение для жизни и здоровья человека», — говорится в бюллетене. «Исходя из этого предположения, ФБР, CISA и Министерство финансов оценивают деятельность северокорейских субъектов, спонсируемых государством. скорее всего, продолжат ориентироваться [здравоохранение и общественное здравоохранение] Секторальные организации».
Предназначен для ручного управления
В техническом анализе от 6 июля охранная фирма Stairwell описала Maui как программу-вымогатель, отличающуюся отсутствием функций, которые обычно присутствуют в других инструментах-вымогателях. Мауи, например, не имеет обычной встроенной заметки о вымогателях с информацией для жертв о том, как восстановить свои данные. Он также не имеет встроенных функций для автоматической передачи ключей шифрования хакерам.
Вместо этого вредоносное ПО выглядит предназначенным для ручного исполнения, где удаленный злоумышленник взаимодействует с Maui через интерфейс командной строки и дает ему указание зашифровать выбранные файлы на зараженной машине и передать ключи обратно злоумышленнику.
Stairwell сообщила, что ее исследователи наблюдали, как Мауи шифрует файлы, используя комбинацию схем шифрования AES, RSA и XOR. Каждый выбранный файл сначала шифруется с помощью AES с уникальным 16-байтовым ключом. Затем Мауи шифрует каждый полученный ключ AES с помощью шифрования RSA, а затем шифрует открытый ключ RSA с помощью XOR. Закрытый ключ RSA шифруется с помощью открытого ключа, встроенного в само вредоносное ПО.
Сайлас Катлер, главный реверс-инженер Stairwell, говорит, что схема рабочего процесса шифрования файлов на Мауи в значительной степени согласуется с другими современными семействами программ-вымогателей. Что действительно отличается, так это отсутствие записки о выкупе.
«Отсутствие встроенной заметки о выкупе с инструкциями по восстановлению — ключевой недостающий атрибут, который отличает его от других семейств программ-вымогателей», — говорит Катлер. «Заметки о выкупе стали визитными карточками некоторых крупных групп вымогателей [и иногда] украшены их собственным брендом». Он говорит, что Stairwell все еще расследует, как злоумышленник общается с жертвами и какие именно требования предъявляются.
Исследователи безопасности говорят, что есть несколько причин, по которым злоумышленник мог решить пойти по пути ручного управления с Мауи. Тим Макгаффин, директор отдела противодействия в Lares Consulting, говорит, что вредоносное ПО, запускаемое вручную, имеет больше шансов обойти современные средства защиты конечных точек и канареечных файлов по сравнению с автоматизированными общесистемными программами-вымогателями.
«Нацеливая на определенные файлы, злоумышленники могут выбирать, что является конфиденциальным, а что эксфильтровать гораздо более тактическим способом по сравнению с программами-вымогателями по принципу «распыли и молись», — говорит МакГаффин. «Это 100% обеспечивает скрытый и хирургический подход к программам-вымогателям, не позволяя защитникам предупреждать об автоматических программах-вымогателях и усложняет использование основанные на времени или поведении подходы к обнаружению или реагированию».
Катлер говорит, что с технической точки зрения Мауи не использует никаких изощренных средств, чтобы избежать обнаружения. Что может сделать его дополнительно проблематичным для обнаружения, так это его низкий профиль.
«Отсутствие стандартных действий программ-вымогателей — [таких как] заметки о выкупе [и] изменение фона пользователя — может привести к тому, что пользователи не сразу узнают, что их файлы были зашифрованы», — говорит он.
Является ли Мауи отвлекающим маневром?
Аарон Тернер (Aaron Turner), технический директор Vectra, говорит, что ручное и выборочное использование злоумышленниками Maui может указывать на то, что за кампанией стоят другие мотивы, а не просто финансовая выгода. Если Северная Корея действительно спонсирует эти атаки, вполне возможно, что программа-вымогатель — это всего лишь второстепенная мысль, а настоящие мотивы кроются в другом.
В частности, это, скорее всего, сочетание кражи интеллектуальной собственности или промышленного шпионажа в сочетании с оппортунистической монетизацией атак с помощью программ-вымогателей.
«По моему мнению, такое использование избирательного шифрования, управляемого оператором, скорее всего, является признаком того, что кампания на Мауи — это не просто деятельность программ-вымогателей», — говорит Тернер.
Операторы Мауи, безусловно, не будут первыми, кто будет использовать программы-вымогатели в качестве прикрытия для кражи IP-адресов и других действий. Самым последним примером того, как другой злоумышленник делает то же самое, является базирующаяся в Китае компания Bronze Starlight, которая, по данным Secureworks, кажется использование программ-вымогателей в качестве прикрытия за обширную кражу интеллектуальной собственности и кибершпионаж, спонсируемый государством.
Исследователи говорят, что для того, чтобы защитить себя, организации здравоохранения должны инвестировать в надежную стратегию резервного копирования. По словам Авишай Авиви, директора по информационной безопасности в SafeBreach, стратегия должна включать частое, по крайней мере раз в месяц, тестирование восстановления, чтобы убедиться в жизнеспособности резервных копий.
«Организации здравоохранения также должны принять все меры предосторожности для сегментации своих сетей и изоляции сред, чтобы предотвратить боковое распространение программ-вымогателей», — отмечает Авиви в электронном письме. «Эти базовые меры кибергигиены — гораздо лучший путь для организаций, готовящихся к атаке программ-вымогателей [чем накапливать биткойны для выплаты выкупа]. Мы по-прежнему видим, что организации не предпринимают упомянутых основных шагов. … Это, к сожалению, означает, что когда (а не если) программы-вымогатели преодолеют их меры безопасности, у них не будет надлежащей резервной копии, и вредоносное программное обеспечение сможет распространиться по сетям организации».
Stairwell также выпустила правила и инструменты YARA, которые другие могут использовать для обнаружения программ-вымогателей Maui.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
