FBI, US Cybersecurity and Infrastructure Security Agency (CISA) och finansdepartementet varnade på onsdagen för nordkoreanska statssponsrade hotaktörer som riktar sig mot organisationer inom den amerikanska hälso- och hälsovårdssektorn. Attackerna utförs med ett något ovanligt, manuellt manövrerat nytt ransomware-verktyg som heter "Maui".
Sedan maj 2021 har det förekommit flera incidenter där hotaktörer som använder skadlig programvara har krypterade servrar som är ansvariga för kritiska hälso- och sjukvårdstjänster, inklusive diagnostiska tjänster, elektroniska journalservrar och bildservrar hos organisationer i de riktade sektorerna. I vissa fall störde Maui-attackerna tjänsterna hos offerorganisationerna under en längre period, sade de tre byråerna i ett råd.
"De nordkoreanska statssponsrade cyberaktörerna antar sannolikt att hälsovårdsorganisationer är villiga att betala lösensummor eftersom dessa organisationer tillhandahåller tjänster som är avgörande för människors liv och hälsa", enligt rådgivningen. "På grund av detta antagande bedömer FBI, CISA och finansministeriet nordkoreanska statssponsrade aktörer kommer sannolikt att fortsätta rikta inriktningen [sjukvård och folkhälsa] Branschorganisationer."
Designad för manuell drift
I en teknisk analys den 6 juli beskrev säkerhetsföretaget Stairwell Maui som ransomware som är anmärkningsvärt för att sakna funktioner som vanligtvis finns i andra ransomware-verktyg. Maui, till exempel, har inte den vanliga inbäddade ransomware-anteckningen med information för offer om hur man återställer sina data. Det verkar inte heller ha någon inbyggd funktion för att överföra krypteringsnycklar till hackarna på ett automatiserat sätt.
Skadlig programvara istället visas designad för manuellt utförande, där en fjärrangripare interagerar med Maui via kommandoradsgränssnittet och instruerar den att kryptera valda filer på den infekterade maskinen och exfiltrera nycklarna tillbaka till angriparen.
Stairwell sa att dess forskare observerade Maui kryptera filer med en kombination av AES-, RSA- och XOR-krypteringsscheman. Varje vald fil krypteras först med AES med en unik 16-byte nyckel. Maui krypterar sedan varje resulterande AES-nyckel med RSA-kryptering och krypterar sedan den offentliga RSA-nyckeln med XOR. Den privata RSA-nyckeln kodas med en offentlig nyckel som är inbäddad i själva skadliga programvaran.
Silas Cutler, huvudomvänd ingenjör på Stairwell, säger att utformningen av Mauis filkrypteringsarbetsflöde är ganska konsekvent med andra moderna ransomware-familjer. Vad som verkligen är annorlunda är frånvaron av en lösennota.
"Avsaknaden av en inbäddad lösensumma med återställningsinstruktioner är en nyckel som saknas som skiljer den från andra ransomware-familjer", säger Cutler. "Lösesedlar har blivit visitkort för några av de stora ransomware-grupperna [och är ibland utsmyckade med sitt eget varumärke." Han säger att Stairwell fortfarande undersöker hur hotaktören kommunicerar med offer och exakt vilka krav som ställs.
Säkerhetsforskare säger att det finns flera anledningar till varför hotaktören kan ha beslutat sig för att gå den manuella vägen med Maui. Tim McGuffin, chef för kontradiktorisk ingenjörskonst på Lares Consulting, säger att manuellt manövrerad skadlig programvara har en bättre chans att undvika moderna endpoint-skyddsverktyg och kanariefågelfiler jämfört med automatiserad, systemomfattande ransomware.
"Genom att rikta in sig på specifika filer får angriparna välja vad som är känsligt och vad som ska exfiltreras på ett mycket mer taktiskt sätt jämfört med en "spray-and-pray" ransomware, säger McGuffin. "Denna 100% ger ett smygande och kirurgiskt tillvägagångssätt för ransomware, vilket förhindrar försvarare från att varna om automatiserad ransomware, och gör det svårare att använda timing eller beteendebaserade metoder för upptäckt eller svar."
Ur teknisk synvinkel använder Maui inte några sofistikerade medel för att undvika upptäckt, säger Cutler. Det som kan göra det ytterligare problematiskt för upptäckt är dess låga profil.
"Avsaknaden av den vanliga ransomware-teatriken - [som] lösensedlar [och] ändrade användarbakgrunder - kan leda till att användare inte omedelbart är medvetna om att deras filer har krypterats", säger han.
Är Maui en röd sill?
Aaron Turner, CTO på Vectra, säger att hotaktörens användning av Maui på ett manuellt och selektivt sätt kan vara en indikation på att det finns andra motiv bakom kampanjen än bara ekonomisk vinst. Om Nordkorea verkligen sponsrar dessa attacker är det tänkbart att ransomware bara är en eftertanke och att de verkliga motiven ligger någon annanstans.
Specifikt är det mest troligt en kombination av stöld av immateriell egendom eller industrispionage kombinerat med opportunistisk monetarisering av attacker med ransomware.
"Enligt min mening är denna användning av operatörsdriven selektiv kryptering med största sannolikhet en indikator på att Maui-kampanjen inte bara är en ransomware-aktivitet", säger Turner.
Operatörerna av Maui skulle verkligen inte vara de första att använda ransomware som skydd för IP-stöld och andra aktiviteter. Det senaste exemplet på en annan angripare som gör detsamma är Kina-baserade Bronze Starlight, som enligt Secureworks verkar vara använder ransomware som skydd för omfattande statligt sponsrad IP-stöld och cyberspionage.
Forskare säger att för att skydda sig själva bör sjukvårdsorganisationer investera i en solid backupstrategi. Strategin måste inkludera frekventa, åtminstone månatliga, återställningstester för att säkerställa att säkerhetskopiorna är genomförbara, enligt Avishai Avivi, CISO på SafeBreach
"Sjukvårdsorganisationer bör också vidta alla försiktighetsåtgärder för att segmentera sina nätverk och isolera miljöer för att förhindra lateral spridning av ransomware", noterar Avivi i ett e-postmeddelande. "Dessa grundläggande cyberhygiensteg är en mycket bättre väg för organisationer som förbereder sig för en ransomware-attack [än att lagra Bitcoins för att betala en lösensumma]. Vi ser fortfarande att organisationer misslyckas med att ta de grundläggande stegen som nämnts. … Detta betyder tyvärr att när (inte om) ransomware tar sig förbi deras säkerhetskontroller, kommer de inte att ha en ordentlig säkerhetskopia, och den skadliga programvaran kommer att kunna spridas i sidled genom organisationens nätverk.”
Stairwell har också släppt YARA-regler och verktyg som andra kan använda för att utveckla upptäckter för Maui ransomware.
