เมื่อวันพุธที่ผ่านมา FBI, สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) และกระทรวงการคลัง ออกมาเตือนเกี่ยวกับผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ โดยมุ่งเป้าไปที่องค์กรต่างๆ ในภาคการดูแลสุขภาพและสาธารณสุขของสหรัฐฯ การโจมตีดังกล่าวดำเนินการด้วยเครื่องมือเรียกค่าไถ่ชนิดใหม่ที่เรียกว่า “Maui” ซึ่งดำเนินการด้วยตนเองซึ่งค่อนข้างผิดปกติ
ตั้งแต่เดือนพฤษภาคม 2021 มีหลายเหตุการณ์ที่ผู้คุกคามที่ปฏิบัติการมัลแวร์ได้เข้ารหัสเซิร์ฟเวอร์ที่รับผิดชอบบริการด้านการดูแลสุขภาพที่สำคัญ รวมถึงบริการวินิจฉัย เซิร์ฟเวอร์บันทึกสุขภาพอิเล็กทรอนิกส์ และเซิร์ฟเวอร์สร้างภาพในองค์กรในภาคส่วนเป้าหมาย ในบางกรณี การโจมตีที่ Maui ได้ขัดขวางการให้บริการในองค์กรเหยื่อเป็นระยะเวลานาน หน่วยงานทั้งสามกล่าวในการให้คำปรึกษา
“ผู้ดำเนินการทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือมีแนวโน้มที่จะถือว่าองค์กรด้านการดูแลสุขภาพยินดีจ่ายค่าไถ่ เนื่องจากองค์กรเหล่านี้ให้บริการที่มีความสำคัญต่อชีวิตและสุขภาพของมนุษย์” ตามคำแนะนำ “ด้วยสมมติฐานนี้ FBI, CISA และกระทรวงการคลังจึงประเมินนักแสดงที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ มีแนวโน้มที่จะกำหนดเป้าหมายต่อไป [การดูแลสุขภาพและสาธารณสุข] องค์กรภาคส่วน”
ออกแบบมาเพื่อการใช้งานแบบแมนนวล
ในการวิเคราะห์ทางเทคนิคเมื่อวันที่ 6 กรกฎาคม บริษัทรักษาความปลอดภัย Stairwell อธิบายว่า Maui เป็นแรนซัมแวร์ที่มีความโดดเด่นเนื่องจากขาดคุณสมบัติที่มักปรากฏอยู่ในเครื่องมือแรนซัมแวร์อื่นๆ ตัวอย่างเช่น Maui ไม่มีบันทึกแรนซัมแวร์ฝังอยู่ตามปกติพร้อมข้อมูลสำหรับเหยื่อเกี่ยวกับวิธีการกู้คืนข้อมูลของพวกเขา ดูเหมือนว่าจะไม่มีฟังก์ชันในตัวสำหรับการส่งคีย์เข้ารหัสไปยังแฮกเกอร์ในแบบอัตโนมัติ
มัลแวร์แทน ปรากฏขึ้นออกแบบมาเพื่อการดำเนินการด้วยตนเองโดยที่ผู้โจมตีระยะไกลโต้ตอบกับ Maui ผ่านทางอินเทอร์เฟซบรรทัดคำสั่ง และสั่งให้เข้ารหัสไฟล์ที่เลือกบนเครื่องที่ติดไวรัส และถอนคีย์กลับไปยังผู้โจมตี
Stairwell กล่าวว่านักวิจัยสังเกตเห็นการเข้ารหัสไฟล์ Maui โดยใช้การผสมผสานระหว่างรูปแบบการเข้ารหัส AES, RSA และ XOR ไฟล์ที่เลือกแต่ละไฟล์จะถูกเข้ารหัสในขั้นแรกโดยใช้ AES พร้อมด้วยคีย์ขนาด 16 ไบต์ที่ไม่ซ้ำกัน จากนั้น Maui เข้ารหัสแต่ละคีย์ AES ที่เป็นผลลัพธ์ด้วยการเข้ารหัส RSA จากนั้นเข้ารหัสคีย์สาธารณะ RSA ด้วย XOR รหัสส่วนตัว RSA ถูกเข้ารหัสโดยใช้รหัสสาธารณะที่ฝังอยู่ในตัวมัลแวร์เอง
Silas Cutler หัวหน้าวิศวกรย้อนกลับของ Stairwell กล่าวว่าการออกแบบขั้นตอนการเข้ารหัสไฟล์ของ Maui ค่อนข้างสอดคล้องกับตระกูลแรนซัมแวร์สมัยใหม่อื่นๆ สิ่งที่แตกต่างจริงๆ คือการไม่มีบันทึกเรียกค่าไถ่
“การไม่มีบันทึกค่าไถ่ฝังอยู่ในคำแนะนำในการกู้คืนเป็นคุณลักษณะสำคัญที่ขาดหายไป ซึ่งทำให้แตกต่างจากตระกูลแรนซัมแวร์อื่นๆ” Cutler กล่าว “บันทึกค่าไถ่ได้กลายเป็นบัตรโทรศัพท์สำหรับกลุ่มแรนซัมแวร์ขนาดใหญ่บางกลุ่ม [และ] บางครั้งก็ประดับด้วยแบรนด์ของตนเอง” เขากล่าวว่า Stairwell ยังคงสืบสวนว่าผู้ก่อภัยคุกคามสื่อสารกับเหยื่ออย่างไร และมีข้อเรียกร้องอะไรบ้าง
นักวิจัยด้านความปลอดภัยกล่าวว่ามีสาเหตุหลายประการที่ทำให้ผู้คุกคามอาจตัดสินใจใช้เส้นทางแบบแมนนวลกับเมาอิ Tim McGuffin ผู้อำนวยการฝ่ายวิศวกรรมฝ่ายตรงข้ามที่ Lares Consulting กล่าวว่ามัลแวร์ที่ดำเนินการด้วยตนเองมีโอกาสที่ดีกว่าในการหลีกเลี่ยงเครื่องมือป้องกันอุปกรณ์ปลายทางสมัยใหม่และไฟล์คานารี เมื่อเทียบกับแรนซัมแวร์อัตโนมัติทั่วทั้งระบบ
“ด้วยการกำหนดเป้าหมายไฟล์ที่เฉพาะเจาะจง ผู้โจมตีจะสามารถเลือกได้ว่าไฟล์ใดมีความละเอียดอ่อนและสิ่งที่จะกรองออกไปในรูปแบบยุทธวิธีที่มากกว่าเมื่อเทียบกับแรนซัมแวร์แบบ 'พ่นแล้วอธิษฐาน'” McGuffin กล่าว “100% นี้ให้วิธีการซ่อนตัวและการผ่าตัดกับแรนซัมแวร์ ป้องกันไม่ให้ผู้ปกป้องแจ้งเตือนเกี่ยวกับแรนซัมแวร์อัตโนมัติ และ ทำให้ใช้งานยากขึ้น วิธีการตรวจจับหรือตอบสนองตามจังหวะเวลาหรือพฤติกรรม”
จากมุมมองทางเทคนิค Maui ไม่ได้ใช้วิธีการที่ซับซ้อนใดๆ เพื่อหลบเลี่ยงการตรวจจับ Cutler กล่าว สิ่งที่อาจทำให้การตรวจจับเป็นปัญหาเพิ่มเติมคือโปรไฟล์ที่ต่ำ
“การไม่มีแรนซั่มแวร์ทั่วไป — [เช่น] บันทึกค่าไถ่ [และ] การเปลี่ยนพื้นหลังของผู้ใช้ — อาจส่งผลให้ผู้ใช้ไม่ทราบในทันทีว่าไฟล์ของพวกเขาถูกเข้ารหัส” เขากล่าว
เมาอิเป็นปลาเฮอริ่งแดงหรือไม่?
Aaron Turner, CTO ของ Vectra กล่าวว่าการใช้ Maui ของผู้คุกคามในลักษณะด้วยตนเองและเลือกสรรอาจเป็นข้อบ่งชี้ว่ามีแรงจูงใจอื่นที่อยู่เบื้องหลังการรณรงค์นี้มากกว่าเพียงผลกำไรทางการเงิน หากเกาหลีเหนือสนับสนุนการโจมตีเหล่านี้จริงๆ ก็เป็นไปได้ว่าแรนซัมแวร์เป็นเพียงสิ่งที่คิดในภายหลัง และแรงจูงใจที่แท้จริงอยู่ที่อื่น
โดยเฉพาะอย่างยิ่ง เป็นไปได้มากว่าเกิดจากการขโมยทรัพย์สินทางปัญญาหรือการจารกรรมทางอุตสาหกรรม รวมกับการสร้างรายได้จากการโจมตีด้วยแรนซัมแวร์โดยฉวยโอกาส
“ในความคิดของฉัน การใช้การเข้ารหัสแบบเลือกสรรที่ขับเคลื่อนโดยผู้ให้บริการนี้ น่าจะเป็นตัวบ่งชี้ว่าแคมเปญ Maui ไม่ใช่แค่กิจกรรมแรนซัมแวร์” Turner กล่าว
ผู้ปฏิบัติงานในเมาอิคงไม่ใช่คนแรกที่ใช้แรนซัมแวร์เพื่อปกปิดการขโมย IP และกิจกรรมอื่น ๆ อย่างแน่นอน ตัวอย่างล่าสุดของผู้โจมตีรายอื่นที่ทำแบบเดียวกันคือ Bronze Starlight จากจีน ซึ่งตามข้อมูลของ Secureworks ดูเหมือนว่า โดยใช้แรนซั่มแวร์เป็นตัวปกปิด สำหรับการโจรกรรมทรัพย์สินทางปัญญาและการจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาล
นักวิจัยกล่าวว่าเพื่อปกป้องตนเอง องค์กรด้านการดูแลสุขภาพควรลงทุนในกลยุทธ์การสำรองข้อมูลที่แข็งแกร่ง กลยุทธ์ดังกล่าวจะต้องรวมการทดสอบการกู้คืนบ่อยครั้งอย่างน้อยเดือนละครั้งเพื่อให้แน่ใจว่าการสำรองข้อมูลสามารถทำงานได้ ตามข้อมูลของ Avishai Aviv, CISO ของ SafeBreach
“องค์กรด้านการดูแลสุขภาพควรใช้ความระมัดระวังทุกประการในการแบ่งส่วนเครือข่ายและแยกสภาพแวดล้อมเพื่อป้องกันการแพร่กระจายของแรนซัมแวร์ด้านข้าง” Avavi กล่าวในอีเมล “ขั้นตอนสุขอนามัยทางไซเบอร์ขั้นพื้นฐานเหล่านี้เป็นเส้นทางที่ดีกว่ามากสำหรับองค์กรที่เตรียมพร้อมสำหรับการโจมตีแรนซัมแวร์ [มากกว่าการสะสม Bitcoins เพื่อจ่ายค่าไถ่] เรายังเห็นว่าองค์กรต่างๆ ล้มเหลวในการทำตามขั้นตอนพื้นฐานที่กล่าวมา … น่าเสียดายที่สิ่งนี้หมายความว่าเมื่อ (ไม่ใช่ถ้า) แรนซัมแวร์ทำให้มันผ่านการควบคุมความปลอดภัย พวกเขาจะไม่มีการสำรองข้อมูลที่เหมาะสม และซอฟต์แวร์ที่เป็นอันตรายจะสามารถแพร่กระจายในแนวขวางผ่านเครือข่ายขององค์กรได้”
Stairwell ยังได้เผยแพร่กฎและเครื่องมือของ YARA ที่ผู้อื่นสามารถใช้เพื่อพัฒนาการตรวจจับมัลแวร์เรียกค่าไถ่ Maui
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
