FBI, ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) in ministrstvo za finance so v sredo opozorili na akterje groženj, ki jih sponzorira severnokorejska država in ciljajo na organizacije v zdravstvenem in javnozdravstvenem sektorju ZDA. Napadi se izvajajo z nekoliko nenavadnim, ročno upravljanim novim orodjem za izsiljevalsko programsko opremo, imenovanim »Maui«.
Od maja 2021 je prišlo do več incidentov, ko so akterji groženj, ki upravljajo z zlonamerno programsko opremo, šifrirali strežnike, odgovorne za kritične zdravstvene storitve, vključno z diagnostičnimi storitvami, strežniki za elektronske zdravstvene zapise in strežniki za slikanje v organizacijah v ciljnih sektorjih. V nekaterih primerih so napadi na otoku Maui za daljše obdobje prekinili storitve organizacij žrtev, so tri agencije zapisale v svetovanju.
"Severnokorejski kibernetski akterji, ki jih sponzorira država, verjetno domnevajo, da so zdravstvene organizacije pripravljene plačati odkupnine, ker te organizacije zagotavljajo storitve, ki so ključnega pomena za življenje in zdravje ljudi," je zapisano v svetovanju. »Zaradi te predpostavke FBI, CISA in finančno ministrstvo ocenjujejo severnokorejske akterje, ki jih sponzorira država. bodo verjetno še naprej ciljali [zdravstvo in javno zdravje] sektorske organizacije.«
Zasnovan za ročno upravljanje
V tehnični analizi 6. julija je varnostno podjetje Stairwell Maui opisalo kot izsiljevalsko programsko opremo, za katero je značilno, da nima funkcij, ki so običajno prisotne v drugih orodjih za izsiljevalsko programsko opremo. Maui, na primer, nima običajne vdelane opombe o izsiljevalski programski opremi z informacijami za žrtve o tem, kako obnoviti svoje podatke. Prav tako se zdi, da nima nobene vgrajene funkcije za samodejno pošiljanje šifrirnih ključev hekerjem.
Namesto tega zlonamerna programska oprema zdi se, da je zasnovan za ročno izvedbo, kjer oddaljeni napadalec komunicira z Mauijem prek vmesnika ukazne vrstice in mu naroči, naj šifrira izbrane datoteke na okuženem računalniku in vrne ključe nazaj do napadalca.
Stairwell je dejal, da so njegovi raziskovalci opazili, da Maui šifrira datoteke s kombinacijo šifrirnih shem AES, RSA in XOR. Vsaka izbrana datoteka je najprej šifrirana z uporabo AES z edinstvenim 16-bajtnim ključem. Maui nato šifrira vsak nastali ključ AES s šifriranjem RSA in nato šifrira javni ključ RSA z XOR. Zasebni ključ RSA je kodiran z uporabo javnega ključa, vdelanega v samo zlonamerno programsko opremo.
Silas Cutler, glavni obratni inženir pri Stairwellu, pravi, da je zasnova delovnega procesa šifriranja datotek Maui dokaj skladna z drugimi sodobnimi družinami izsiljevalskih programov. Kar je res drugače, je odsotnost obvestila o odkupnini.
»Pomanjkanje vdelanega obvestila o odkupnini z navodili za obnovitev je ključni manjkajoči atribut, ki ga ločuje od drugih družin izsiljevalskih programov,« pravi Cutler. "Opombe o odkupnini so postale vizitke za nekatere velike skupine izsiljevalskih programov [in so] včasih okrašene z lastno blagovno znamko." Pravi, da Stairwell še vedno preiskuje, kako akter grožnje komunicira z žrtvami in kakšne so zahteve.
Varnostni raziskovalci pravijo, da obstaja več razlogov, zakaj se je akter grožnje morda odločil za ročno pot z Mauijem. Tim McGuffin, direktor kontradiktornega inženiringa pri Lares Consulting, pravi, da ima ročno upravljana zlonamerna programska oprema boljše možnosti, da se izogne sodobnim orodjem za zaščito končnih točk in kanarčkovim datotekam v primerjavi z avtomatsko sistemsko izsiljevalsko programsko opremo.
»Z ciljanjem na določene datoteke lahko napadalci izberejo, kaj je občutljivo in kaj naj izločijo na veliko bolj taktičen način v primerjavi z izsiljevalsko programsko opremo 'spray and pray',« pravi McGuffin. »Ta 100 % zagotavlja prikrit in kirurški pristop k izsiljevalski programski opremi, ki branilcem preprečuje, da bi opozorili na avtomatizirano izsiljevalsko programsko opremo, in zaradi česar je težje uporabljati pristopi k odkrivanju ali odzivu, ki temeljijo na času ali vedenju.«
S tehničnega vidika Maui ne uporablja nobenih sofisticiranih sredstev za izogibanje odkrivanju, pravi Cutler. Kar bi lahko dodatno otežilo odkrivanje, je njegov nizek profil.
»Pomanjkanje običajnih predstav o izsiljevalski programski opremi – [kot so] obvestila o odkupnini [in] spreminjanje uporabniškega ozadja – lahko povzroči, da se uporabniki ne zavedajo takoj, da so njihove datoteke šifrirane,” pravi.
Je Maui rdeči sled?
Aaron Turner, tehnični direktor pri Vectri, pravi, da je uporaba Mauija s strani akterja grožnje na ročni in selektiven način lahko znak, da so za kampanjo drugi motivi kot le finančni dobiček. Če Severna Koreja res sponzorira te napade, je mogoče razumeti, da je izsiljevalska programska oprema le naknadna misel in da so pravi motivi drugje.
Natančneje, najverjetneje gre za kombinacijo kraje intelektualne lastnine ali industrijskega vohunjenja v kombinaciji z oportunističnim monetiziranjem napadov z izsiljevalsko programsko opremo.
»Po mojem mnenju je ta uporaba selektivnega šifriranja, ki ga vodi operater, najverjetneje pokazatelj, da kampanja Maui ni le dejavnost izsiljevalske programske opreme,« pravi Turner.
Operaterji Mauija zagotovo ne bi bili daleč prvi, ki bi uporabili izsiljevalsko programsko opremo kot krinko za krajo IP in druge dejavnosti. Najnovejši primer še enega napadalca, ki počne enako, je podjetje Bronze Starlight s sedežem na Kitajskem, za katerega se po podatkih Secureworks zdi, da je z uporabo izsiljevalske programske opreme kot krinke za obsežno krajo IP-jev in kibernetsko vohunjenje, ki ga sponzorira vlada.
Raziskovalci pravijo, da bi morale zdravstvene organizacije vlagati v trdno varnostno strategijo, da bi se zaščitile. Strategija mora vključevati pogosto, vsaj mesečno, testiranje obnovitve, da se zagotovi, da so varnostne kopije uspešne, pravi Avishai Avivi, CISO pri SafeBreach.
»Zdravstvene organizacije bi morale sprejeti tudi vse previdnostne ukrepe za segmentacijo svojih omrežij in izolacijo okolij, da bi preprečile stransko širjenje izsiljevalske programske opreme,« ugotavlja Avivi v elektronskem sporočilu. »Ti osnovni koraki kibernetske higiene so veliko boljša pot za organizacije, ki se pripravljajo na napad z izsiljevalsko programsko opremo [kot kopičenje Bitcoinov za plačilo odkupnine]. Še vedno vidimo, da organizacije ne naredijo osnovnih omenjenih korakov. … To na žalost pomeni, da ko (ne če) izsiljevalska programska oprema uspe mimo njihovega varnostnega nadzora, ne bo imela ustrezne varnostne kopije in zlonamerna programska oprema se bo lahko bočno širila po omrežjih organizacije.”
Stairwell je izdal tudi pravila in orodja YARA, ki jih lahko drugi uporabijo za razvoj zaznav za izsiljevalsko programsko opremo Maui.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
