FBI, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Hazine Bakanlığı Çarşamba günü, ABD sağlık ve halk sağlığı sektörlerindeki kuruluşları hedef alan Kuzey Kore devlet destekli tehdit aktörleri hakkında uyardı. Saldırılar, "Maui" adı verilen alışılmadık, elle çalıştırılan yeni bir fidye yazılımı aracıyla gerçekleştiriliyor.
Mayıs 2021'den bu yana, kötü amaçlı yazılımı çalıştıran tehdit aktörlerinin, teşhis hizmetleri, elektronik sağlık kayıtları sunucuları ve hedeflenen sektörlerdeki kuruluşlardaki görüntüleme sunucuları dahil olmak üzere kritik sağlık hizmetlerinden sorumlu sunucuları şifrelediği çok sayıda olay yaşandı. Üç ajansın bir danışma belgesinde, bazı durumlarda Maui saldırılarının mağdur kuruluşlardaki hizmetleri uzun süre aksattığı belirtildi.
Danışmaya göre, "Kuzey Kore devlet destekli siber aktörler, sağlık kuruluşlarının insan yaşamı ve sağlığı için kritik öneme sahip hizmetler sunduğu için muhtemelen fidye ödemeye istekli olduklarını varsayıyorlar." "Bu varsayım nedeniyle, FBI, CISA ve Hazine, Kuzey Kore devlet destekli aktörleri değerlendiriyor. hedeflemeye devam etmesi muhtemeldir. [sağlık ve halk sağlığı] Sektör kuruluşları.”
Manuel Çalıştırma için Tasarlandı
Güvenlik firması Stairwell, 6 Temmuz'da yaptığı teknik bir analizde Maui'yi, diğer fidye yazılımı araçlarında yaygın olarak bulunan eksik özellikler nedeniyle dikkate değer bir fidye yazılımı olarak tanımladı. Örneğin Maui, kurbanlar için verilerini nasıl kurtaracaklarına ilişkin bilgileri içeren olağan gömülü fidye yazılımı notuna sahip değil. Ayrıca, şifreleme anahtarlarını bilgisayar korsanlarına otomatik olarak iletmek için herhangi bir yerleşik işlevselliğe sahip görünmüyor.
Bunun yerine kötü amaçlı yazılım manuel yürütme için tasarlanmış görünüyor, burada uzaktaki bir saldırgan komut satırı arabirimi aracılığıyla Maui ile etkileşime girer ve ona virüslü makinedeki seçili dosyaları şifrelemesini ve anahtarları saldırgana geri sızdırmasını söyler.
Stairwell, araştırmacılarının Maui'nin AES, RSA ve XOR şifreleme şemalarının bir kombinasyonunu kullanarak dosyaları şifrelediğini gözlemlediğini söyledi. Seçilen her dosya, önce benzersiz bir 16 baytlık anahtarla AES kullanılarak şifrelenir. Maui daha sonra ortaya çıkan her AES anahtarını RSA şifrelemesiyle şifreler ve ardından RSA genel anahtarını XOR ile şifreler. RSA özel anahtarı, kötü amaçlı yazılımın kendisine gömülü bir genel anahtar kullanılarak kodlanır.
Stairwell'de baş ters mühendis olan Silas Cutler, Maui'nin dosya şifreleme iş akışının tasarımının diğer modern fidye yazılımı aileleriyle oldukça tutarlı olduğunu söylüyor. Gerçekten farklı olan, bir fidye notunun olmaması.
Cutler, "Kurtarma talimatlarıyla birlikte gömülü bir fidye notunun olmaması, onu diğer fidye yazılımı ailelerinden ayıran önemli bir eksik özelliktir" diyor. "Fidye notları, bazı büyük fidye yazılımı grupları için arama kartları haline geldi [ve] bazen kendi markalarıyla süslendi." Stairwell'in hala tehdit aktörünün mağdurlarla nasıl iletişim kurduğunu ve tam olarak hangi taleplerde bulunulduğunu araştırdığını söyledi.
Güvenlik araştırmacıları, tehdit aktörünün Maui ile manuel rotaya gitmeye karar vermesinin birkaç nedeni olduğunu söylüyor. Lares Consulting'de rekabet mühendisliği direktörü Tim McGuffin, manuel olarak çalıştırılan kötü amaçlı yazılımların, otomatikleştirilmiş, sistem çapında fidye yazılımlarına kıyasla modern uç nokta koruma araçlarından ve kanarya dosyalarından kaçma şansının daha yüksek olduğunu söylüyor.
McGuffin, "Saldırganlar, belirli dosyaları hedefleyerek, neyin hassas olduğunu ve neyin sızdırılacağını, 'sprey ve dua' fidye yazılımına kıyasla çok daha taktik bir şekilde seçebiliyorlar" diyor. “Bu %100, fidye yazılımlarına karşı gizli ve cerrahi bir yaklaşım sağlayarak, savunucuların otomatikleştirilmiş fidye yazılımları konusunda uyarmasını engeller ve kullanımı daha da zorlaştırıyor Tespit veya yanıt için zamanlama veya davranışa dayalı yaklaşımlar.”
Cutler, teknik açıdan bakıldığında, Maui'nin tespitten kaçınmak için herhangi bir karmaşık yöntem kullanmadığını söylüyor. Algılama için ek olarak sorunlu hale getirebilecek şey, düşük profilidir.
"Fidye notları [ve] değişen kullanıcı arka planları gibi yaygın fidye yazılımı tiyatrolarının olmaması, kullanıcıların dosyalarının şifrelendiğini hemen fark etmemelerine neden olabilir" diyor.
Maui bir Kırmızı Ringa mı?
Vectra'nın CTO'su Aaron Turner, tehdit aktörünün Maui'yi manuel ve seçici bir şekilde kullanmasının, kampanyanın arkasında sadece finansal kazançtan başka sebeplerin olduğunun bir göstergesi olabileceğini söylüyor. Kuzey Kore bu saldırılara gerçekten sponsor oluyorsa, fidye yazılımlarının sonradan akla geldiği ve asıl amaçların başka yerde yattığı düşünülebilir.
Spesifik olarak, büyük olasılıkla fikri mülkiyet hırsızlığı veya endüstriyel casusluğun, fidye yazılımıyla saldırılardan fırsatçı para kazanma ile birleştirilmesidir.
Turner, "Bence, operatör güdümlü seçici şifrelemenin bu kullanımı, büyük olasılıkla Maui kampanyasının yalnızca bir fidye yazılımı etkinliği olmadığının bir göstergesidir" diyor.
Maui operatörleri, IP hırsızlığı ve diğer faaliyetler için fidye yazılımını açık ara kullanan ilk kişiler olmayacağı kesin. Aynı şeyi yapan başka bir saldırganın en son örneği, Secureworks'e göre Çin merkezli Bronze Starlight'tır. fidye yazılımını kapak olarak kullanmak kapsamlı devlet destekli IP hırsızlığı ve siber casusluk için.
Araştırmacılar, kendilerini korumak için sağlık kuruluşlarının sağlam bir yedekleme stratejisine yatırım yapması gerektiğini söylüyor. SafeBreach CISO'su Avishai Avivi'ye göre strateji, yedeklemelerin uygulanabilir olduğundan emin olmak için sık sık, en az ayda bir kez yapılan kurtarma testlerini içermelidir.
Avivi bir e-postada, "Sağlık kuruluşları, fidye yazılımlarının yanal yayılmasını önlemek için ağlarını bölümlere ayırmak ve ortamları izole etmek için tüm önlemleri almalıdır" dedi. “Bu temel siber hijyen adımları, fidye yazılımı saldırısına hazırlanan kuruluşlar için [fidye ödemek için Bitcoin stoklamaktan] çok daha iyi bir yoldur. Kuruluşların halen bahsedilen temel adımları atmakta başarısız olduklarını görüyoruz. … Bu, ne yazık ki, fidye yazılımı (eğer değilse) güvenlik kontrollerini geçtiğinde, uygun bir yedeklemeye sahip olmayacakları ve kötü amaçlı yazılımın kuruluşun ağları üzerinden yanlamasına yayılabileceği anlamına geliyor.”
Stairwell ayrıca, diğerlerinin Maui fidye yazılımı için tespitler geliştirmek için kullanabileceği YARA kurallarını ve araçlarını da yayınladı.
