FBI, Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) và Bộ Tài chính hôm thứ Tư đã cảnh báo về các tác nhân đe dọa do nhà nước Bắc Triều Tiên bảo trợ nhắm mục tiêu vào các tổ chức trong lĩnh vực y tế công cộng và chăm sóc sức khỏe của Hoa Kỳ. Các cuộc tấn công đang được thực hiện với một công cụ ransomware mới được vận hành thủ công có phần bất thường có tên là “Maui”.
Kể từ tháng 2021 năm XNUMX, đã xảy ra nhiều sự cố trong đó các tác nhân đe dọa vận hành phần mềm độc hại có các máy chủ được mã hóa chịu trách nhiệm về các dịch vụ chăm sóc sức khỏe quan trọng, bao gồm dịch vụ chẩn đoán, máy chủ hồ sơ sức khỏe điện tử và máy chủ hình ảnh tại các tổ chức trong các lĩnh vực được nhắm mục tiêu. Trong một số trường hợp, các cuộc tấn công Maui đã làm gián đoạn dịch vụ tại các tổ chức nạn nhân trong một thời gian dài, ba cơ quan cho biết trong một lời khuyên.
“Các tác nhân mạng do nhà nước Bắc Triều Tiên tài trợ có thể cho rằng các tổ chức chăm sóc sức khỏe sẵn sàng trả tiền chuộc vì các tổ chức này cung cấp các dịch vụ quan trọng đối với tính mạng và sức khỏe của con người,” theo lời khuyên. “Vì giả định này, FBI, CISA và Bộ Tài chính đánh giá các diễn viên được nhà nước bảo trợ của Bắc Triều Tiên có khả năng tiếp tục nhắm mục tiêu [chăm sóc sức khỏe và sức khỏe cộng đồng] Các tổ chức ngành.”
Được thiết kế để vận hành thủ công
Trong một phân tích kỹ thuật vào ngày 6 tháng XNUMX, công ty bảo mật Stairwell đã mô tả Maui là ransomware đáng chú ý vì thiếu các tính năng thường có trong các công cụ ransomware khác. Chẳng hạn, Maui không có ghi chú ransomware nhúng thông thường với thông tin dành cho nạn nhân về cách khôi phục dữ liệu của họ. Nó dường như cũng không có bất kỳ chức năng tích hợp nào để truyền các khóa mã hóa cho tin tặc theo cách tự động.
Thay vào đó, phần mềm độc hại xuất hiện được thiết kế để thực hiện thủ công, nơi kẻ tấn công từ xa tương tác với Maui thông qua giao diện dòng lệnh và hướng dẫn nó mã hóa các tệp đã chọn trên máy bị nhiễm và trích xuất các khóa trả lại cho kẻ tấn công.
Stairwell cho biết các nhà nghiên cứu của họ đã quan sát Maui mã hóa các tệp bằng cách sử dụng kết hợp các lược đồ mã hóa AES, RSA và XOR. Mỗi tệp đã chọn trước tiên được mã hóa bằng AES với khóa 16 byte duy nhất. Maui sau đó mã hóa từng khóa AES thu được bằng mã hóa RSA, sau đó mã hóa khóa công khai RSA bằng XOR. Khóa riêng RSA được mã hóa bằng khóa chung được nhúng trong chính phần mềm độc hại.
Silas Cutler, kỹ sư đảo ngược chính tại Stairwell, cho biết thiết kế quy trình mã hóa tệp của Maui khá phù hợp với các dòng ransomware hiện đại khác. Điều thực sự khác biệt là không có ghi chú đòi tiền chuộc.
Cutler nói: “Việc thiếu ghi chú đòi tiền chuộc kèm theo hướng dẫn khôi phục là một thuộc tính quan trọng bị thiếu khiến nó khác biệt với các họ ransomware khác. “Ghi chú đòi tiền chuộc đã trở thành thẻ gọi điện cho một số nhóm ransomware lớn [và] đôi khi được tô điểm bằng thương hiệu của riêng chúng.” Ông nói rằng Stairwell vẫn đang điều tra cách kẻ đe dọa giao tiếp với các nạn nhân và chính xác những yêu cầu nào đang được đưa ra.
Các nhà nghiên cứu bảo mật cho biết có một số lý do tại sao tác nhân đe dọa có thể đã quyết định đi theo con đường thủ công với Maui. Tim McGuffin, giám đốc kỹ thuật đối thủ tại Lares Consulting, cho biết phần mềm độc hại được vận hành thủ công có cơ hội trốn tránh các công cụ bảo vệ điểm cuối hiện đại và các tệp canary tốt hơn so với phần mềm tống tiền tự động trên toàn hệ thống.
McGuffin nói: “Bằng cách nhắm mục tiêu vào các tệp cụ thể, những kẻ tấn công có thể chọn những gì nhạy cảm và những gì sẽ bị loại bỏ theo cách chiến thuật hơn nhiều khi so sánh với một ransomware 'phun và cầu nguyện'. “100% này cung cấp một cách tiếp cận tàng hình và phẫu thuật đối với phần mềm tống tiền, ngăn chặn những người bảo vệ cảnh báo về phần mềm tống tiền tự động và làm cho nó khó khăn hơn để sử dụng các phương pháp tiếp cận dựa trên thời gian hoặc hành vi để phát hiện hoặc phản hồi.”
Cutler nói, từ quan điểm kỹ thuật, Maui không sử dụng bất kỳ phương tiện tinh vi nào để tránh bị phát hiện. Điều có thể làm cho nó trở nên khó phát hiện hơn là cấu hình thấp của nó.
Ông nói: “Việc thiếu các thủ đoạn phổ biến của ransomware - [chẳng hạn như] ghi chú đòi tiền chuộc [và] thay đổi nền của người dùng - có thể khiến người dùng không nhận ra ngay rằng các tệp của họ đã được mã hóa.
Maui có phải là cá trích đỏ không?
Aaron Turner, CTO tại Vectra, cho biết việc kẻ đe dọa sử dụng Maui một cách thủ công và có chọn lọc có thể là dấu hiệu cho thấy có những động cơ khác đằng sau chiến dịch chứ không chỉ vì lợi ích tài chính. Nếu Triều Tiên thực sự tài trợ cho các cuộc tấn công này, thì có thể hiểu rằng ransomware chỉ là một suy nghĩ sau và động cơ thực sự nằm ở chỗ khác.
Cụ thể, rất có thể đó là sự kết hợp của hành vi trộm cắp tài sản trí tuệ hoặc gián điệp công nghiệp kết hợp với việc kiếm tiền cơ hội từ các cuộc tấn công bằng mã độc tống tiền.
Turner nói: “Theo tôi, việc sử dụng mã hóa chọn lọc do người vận hành điều khiển rất có thể là một dấu hiệu cho thấy chiến dịch Maui không chỉ là một hoạt động của ransomware,” Turner nói.
Các nhà điều hành Maui chắc chắn sẽ không phải là những người đầu tiên sử dụng ransomware làm vỏ bọc cho hành vi trộm cắp IP và các hoạt động khác. Ví dụ gần đây nhất về một kẻ tấn công khác làm điều tương tự là Bronze Starlight có trụ sở tại Trung Quốc, mà theo Secureworks dường như là sử dụng ransomware làm vỏ bọc cho hành vi trộm cắp IP và gián điệp mạng do chính phủ tài trợ.
Các nhà nghiên cứu nói rằng để tự bảo vệ mình, các tổ chức chăm sóc sức khỏe nên đầu tư vào một chiến lược dự phòng vững chắc. Theo Avishai Avivi, CISO tại SafeBreach, chiến lược phải bao gồm kiểm tra khôi phục thường xuyên, ít nhất là hàng tháng để đảm bảo các bản sao lưu khả thi.
“Các tổ chức chăm sóc sức khỏe cũng nên thực hiện mọi biện pháp phòng ngừa để phân đoạn mạng của họ và cách ly môi trường để ngăn chặn sự lây lan của ransomware,” Avivi lưu ý trong một email. “Các bước vệ sinh mạng cơ bản này là một lộ trình tốt hơn nhiều cho các tổ chức chuẩn bị cho một cuộc tấn công ransomware [hơn là dự trữ Bitcoin để trả tiền chuộc]. Chúng tôi vẫn thấy các tổ chức không thực hiện các bước cơ bản được đề cập. … Thật không may, điều này có nghĩa là khi (không phải nếu) phần mềm tống tiền vượt qua các biện pháp kiểm soát bảo mật của chúng, chúng sẽ không có bản sao lưu thích hợp và phần mềm độc hại sẽ có thể lây lan ngang qua mạng của tổ chức.”
Stairwell cũng đã phát hành các quy tắc và công cụ YARA mà những người khác có thể sử dụng để phát triển khả năng phát hiện phần mềm tống tiền Maui.
