ФБР, Агентство кібербезпеки та безпеки інфраструктури США (CISA) і Міністерство фінансів у середу попередили про спонсорованих державою північнокорейських суб’єктів загрози, які націлені на організації в секторах охорони здоров’я США та охорони здоров’я. Атаки здійснюються за допомогою дещо незвичайного нового інструменту-вимагача під назвою «Maui», що керується вручну.
З травня 2021 року відбулося кілька інцидентів, коли зловмисники, які керували зловмисним програмним забезпеченням, шифрували сервери, відповідальні за критичні медичні послуги, зокрема діагностичні послуги, сервери електронних медичних записів і сервери зображень в організаціях у цільових секторах. У деяких випадках атаки на Мауї призвели до перебоїв у роботі постраждалих організацій на тривалий період, йдеться в повідомленні трьох агентств.
«Спонсоровані державою Північної Кореї кіберактори, ймовірно, припускають, що організації охорони здоров’я готові платити викупи, оскільки ці організації надають послуги, які мають вирішальне значення для життя та здоров’я людини», — йдеться в консультації. «Через це припущення ФБР, CISA та Міністерство фінансів оцінюють акторів, спонсорованих державою Північної Кореї. ймовірно, продовжать націлювання [охорона здоров’я та громадське здоров’я] Секторальні організації».
Призначений для ручного керування
У технічному аналізі від 6 липня охоронна фірма Stairwell описала Maui як програму-вимагач, яка відрізняється відсутністю функцій, які зазвичай присутні в інших інструментах програм-вимагачів. Maui, наприклад, не має звичайної вбудованої примітки про програми-вимагачі з інформацією для жертв про те, як відновити свої дані. Він також не має жодної вбудованої функції для автоматичної передачі ключів шифрування хакерам.
Натомість зловмисне програмне забезпечення з’являється призначений для ручного виконання, де віддалений зловмисник взаємодіє з Maui через інтерфейс командного рядка та дає йому вказівки зашифрувати вибрані файли на зараженій машині та вилучити ключі назад до зловмисника.
Stairwell каже, що його дослідники спостерігали, як Maui шифрує файли за допомогою комбінації схем шифрування AES, RSA та XOR. Кожен вибраний файл спочатку шифрується за допомогою AES унікальним 16-байтовим ключем. Потім Maui шифрує кожен отриманий ключ AES за допомогою шифрування RSA, а потім шифрує відкритий ключ RSA за допомогою XOR. Приватний ключ RSA кодується за допомогою відкритого ключа, вбудованого в саму шкідливу програму.
Сайлас Катлер, головний інженер Stairwell, каже, що робочий процес шифрування файлів у Maui досить узгоджується з іншими сучасними сімействами програм-вимагачів. Що дійсно відрізняється, так це відсутність записки про викуп.
«Відсутність вбудованої нотатки про викуп із інструкціями щодо відновлення є ключовим відсутнім атрибутом, який відрізняє його від інших сімей програм-вимагачів», — каже Катлер. «Записки про викуп стали візитними картками для деяких великих груп програм-вимагачів [і] іноді прикрашені їхнім власним брендом». За його словами, Stairwell все ще з’ясовує, як загрозливий актор спілкується з жертвами та які саме вимоги висуваються.
Дослідники безпеки кажуть, що існує кілька причин, чому зловмисник міг вирішити піти вручну з Maui. Тім МакГаффін, директор із розробки змагальності в Lares Consulting, каже, що зловмисне програмне забезпечення, кероване вручну, має більше шансів уникнути сучасних інструментів захисту кінцевих точок і канаркових файлів порівняно з автоматизованим програмним забезпеченням-вимагачем.
«Націлюючись на конкретні файли, зловмисники можуть вибирати, що є конфіденційним, а що викрадати, у набагато більш тактичний спосіб порівняно з програмами-вимагачами типу «розпилюй і молися», — говорить Макгаффін. «Це 100% забезпечує прихований і хірургічний підхід до програм-вимагачів, запобігаючи попередженню захисників про автоматизовані програми-вимагачі, і що ускладнює використання підходи до виявлення або реагування на основі часу або поведінки».
З технічної точки зору Мауї не використовує жодних складних засобів для уникнення виявлення, каже Катлер. Що може зробити його ще більш проблематичним для виявлення, так це його низький профіль.
«Відсутність звичайних театральних програм-вимагачів — [таких як] нотатки про викуп [та] зміна фону користувачів — може призвести до того, що користувачі не відразу дізнаються, що їхні файли зашифровано», — каже він.
Чи є Мауї червоним оселедцем?
Аарон Тернер, технічний директор Vectra, каже, що використання Maui зловмисником у ручний та вибірковий спосіб може свідчити про те, що за кампанією стоять інші мотиви, аніж лише фінансова вигода. Якщо Північна Корея справді спонсорує ці атаки, можна припустити, що програмне забезпечення-вимагач — це лише запізніла думка, а справжні мотиви криються в іншому.
Зокрема, це, швидше за все, поєднання крадіжки інтелектуальної власності або промислового шпигунства в поєднанні з опортуністичною монетизацією атак за допомогою програм-вимагачів.
«На мій погляд, таке використання керованого оператором вибіркового шифрування, швидше за все, свідчить про те, що кампанія Maui — це не просто програма-вимагач», — каже Тернер.
Оператори Мауї, звичайно, не були б першими, хто використовував програми-вимагачі як прикриття для крадіжки IP та інших дій. Останнім прикладом іншого зловмисника, який робить те саме, є китайська компанія Bronze Starlight, яка, за даними Secureworks, використання програм-вимагачів як прикриття за широку фінансовану державою крадіжку ІВ та кібершпигунство.
Дослідники кажуть, що для того, щоб захистити себе, організації охорони здоров’я повинні інвестувати в надійну резервну стратегію. Стратегія повинна включати часте, принаймні щомісяця, тестування відновлення, щоб переконатися, що резервні копії життєздатні, за словами Авішая Авіві, керівника відділу інформаційних технологій SafeBreach.
«Організації охорони здоров’я також повинні вжити всіх запобіжних заходів для сегментації своїх мереж та ізоляції середовищ, щоб запобігти боковому поширенню програм-вимагачів», — зазначає Авіві в електронному листі. «Ці базові кроки кібергігієни є набагато кращим шляхом для організацій, які готуються до атаки програм-вимагачів [ніж накопичувати біткойни для сплати викупу]. Ми все ще бачимо, що організації не вживають згаданих основних кроків. … Це, на жаль, означає, що коли (не якщо) програми-вимагачі проходять повз контроль безпеки, вони не матимуть належної резервної копії, і зловмисне програмне забезпечення зможе поширюватися через мережі організації».
Stairwell також випустив правила та інструменти YARA, які інші можуть використовувати для розробки засобів виявлення програм-вимагачів Maui.
