朝鲜国家行为者在对美国医疗保健组织 PlatoBlockchain 数据情报的持续网络攻击中部署外科勒索软件。 垂直搜索。 人工智能。

朝鲜国家行为者在针对美国医疗保健组织的持续网络攻击中部署外科勒索软件

时间戳:6 年 2022 月 5 日下午 08:XNUMX

美国联邦调查局 (FBI)、美国网络安全和基础设施安全局 (CISA) 和财政部周三警告称,朝鲜国家支持的威胁行为者针对美国医疗保健和公共卫生部门的组织。这些攻击是通过一种有点不寻常的手动操作的新型勒索软件工具“Maui”进行的。

自 2021 年 XNUMX 月以来,发生了多起事件,操作恶意软件的威胁行为者对负责关键医疗服务的服务器进行了加密,包括目标行业组织的诊断服务、电子健康记录服务器和成像服务器。这三个机构在一份咨询报告中表示,在某些情况下,毛伊岛的袭击会长时间扰乱受害组织的服务。

该咨询称:“朝鲜国家支持的网络行为者可能认为医疗保健组织愿意支付赎金,因为这些组织提供对人类生命和健康至关重要的服务。” “基于这一假设,FBI、CISA 和财政部评估朝鲜国家支持的行为者 可能会继续瞄准 [医疗保健和公共卫生]部门组织。”

专为手动操作而设计

在 6 月 XNUMX 日的技术分析中,安全公司 Stairwell 将 Maui 描述为勒索软件,其特点是缺乏其他勒索软件工具中常见的功能。例如,毛伊岛没有常见的嵌入式勒索软件注释,其中包含受害者如何恢复数据的信息。它似乎也没有任何内置功能来以自动方式向黑客传输加密密钥。

相反,恶意软件 似乎是为手动执行而设计的,远程攻击者通过命令行界面与 Maui 进行交互,并指示其加密受感染计算机上的选定文件并将密钥泄露给攻击者。 

Stairwell 表示,其研究人员观察毛伊岛使用 AES、RSA 和 XOR 加密方案的组合来加密文件。每个选定的文件首先使用 AES 和唯一的 16 字节密钥进行加密。然后,Maui 使用 RSA 加密对每个生成的 AES 密钥进行加密,然后使用 XOR 对 RSA 公钥进行加密。 RSA 私钥使用恶意软件本身嵌入的公钥进行编码。

Stairwell 的首席逆向工程师 Silas Cutler 表示,毛伊岛文件加密工作流程的设计与其他现代勒索软件系列相当一致。真正不同的是没有勒索信。 

卡特勒说:“缺乏带有恢复说明的嵌入式勒索字条是它与其他勒索软件系列区别开来的一个关键缺失属性。” “勒索字条已成为一些大型勒索软件团体的名片,有时还带有他们自己的品牌。”他说,斯泰尔韦尔仍在调查威胁行为者如何与受害者沟通以及到底提出了哪些要求。

安全研究人员表示,威胁行为者可能决定采用手动方式与毛伊岛合作,有几个原因。 Lares Consulting 的对抗工程总监 Tim McGuffin 表示,与自动化的全系统勒索软件相比,手动操作的恶意软件更有可能逃避现代端点保护工具和金丝雀文件。 

麦高芬说:“与‘喷雾和祈祷’勒索软件相比,通过瞄准特定文件,攻击者可以以更具战术性的方式选择敏感内容和要泄露的内容。” “这 100% 为勒索软件提供了一种隐秘且外科手术式的方法,防止防御者对自动勒索软件发出警报,并且 使其更难使用 基于时间或行为的检测或响应方法。”

卡特勒说,从技术角度来看,毛伊岛没有利用任何复杂的手段来逃避检测。它的低调可能会给检测带来额外的问题。

“缺乏常见的勒索软件行为——[例如]勒索字条[和]改变用户背景——可能会导致用户无法立即意识到他们的文件已被加密,”他说。

毛伊岛是红鲱鱼吗?

Vectra 首席技术官亚伦·特纳 (Aaron Turner) 表示,威胁行为者以手动和选择性的方式使用毛伊岛,可能表明该活动背后除了经济利益之外还有其他动机。如果朝鲜确实支持这些攻击,那么可以想象,勒索软件只是事后的想法,真正的动机在其他地方。 

具体来说,这很可能是知识产权盗窃或工业间谍活动与勒索软件攻击的机会主义货币化的结合。

“在我看来,这种由运营商驱动的选择性加密的使用很可能表明毛伊岛活动不仅仅是勒索软件活动,”特纳说。

毛伊岛的运营商当然不会是迄今为止第一个使用勒索软件作为知识产权盗窃和其他活动掩护的人。另一个攻击者做同样事情的最新例子是中国的 Bronze Starlight,根据 Secureworks 的说法,该攻击者似乎是 使用勒索软件作为掩护 政府支持的广泛的知识产权盗窃和网络间谍活动。

研究人员表示,为了保护自己,医疗机构应该投资于可靠的备份策略。 SafeBreach 首席信息安全官 Avishai Avivi 表示,该策略必须包括频繁(至少每月一次)的恢复测试,以确保备份可行

Avivi 在一封电子邮件中指出:“医疗保健组织还应采取一切预防措施来分段网络并隔离环境,以防止勒索软件横向传播。” “对于准备应对勒索软件攻击的组织来说,这些基本的网络卫生步骤是一个更好的途径(比储存比特币来支付赎金)。我们仍然看到组织未能采取上述基本步骤。 ......不幸的是,这意味着当(而不是)勒索软件通过他们的安全控制时,他们将没有适当的备份,并且恶意软件将能够通过组织的网络横向传播。”

Stairwell 还发布了 YARA 规则和工具,其他人可以使用它们来开发毛伊岛勒索软件的检测。

时间戳记:

更多来自 暗读