Statssponserede aktører implementerer den unikke malware – som er rettet mod specifikke filer og ikke efterlader nogen ransomware-note – i igangværende angreb.
Flere føderale agenturer advarer sundhedsorganisationer om, at de er truet af angreb fra nordkoreanske statssponsorerede aktører, der anvender en unik ransomware, der målretter filer med kirurgisk præcision, ifølge amerikanske føderale myndigheder.
Trusselaktører fra Nordkorea har brugt Maui ransomware siden mindst maj 2021 til at målrette mod organisationer i sundheds- og folkesundhedssektoren, ifølge en fælles rådgivning udstedt onsdag af Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) og Department of Treasury (Treasury).
Organisationer bør være på udkig efter indikatorer for kompromis og træffe foranstaltninger mod sådanne angreb, som begge er inkluderet i den føderale rådgivning.
Desuden, hvis organisationer finder sig selv som offer for angreb, anbefaler agenturerne, at de afholder sig fra at betale enhver anmodet løsesum, "da det ikke garanterer, at filer og optegnelser vil blive gendannet og kan udgøre sanktionsrisici," skrev de i meddelelsen.
Unik Ransomware
Maui – som har været aktiv siden mindst april 2021, ifølge en rapport på ransomware fra cybersikkerhedsfirmaet Stairwell– har nogle unikke egenskaber, der adskiller det fra andre ransomware-as-a-service (RaaS)-trusler, der i øjeblikket er i spil.
"Maui skilte sig ud for os på grund af mangel på flere nøglefunktioner, vi almindeligvis ser med værktøj fra RaaS-udbydere," skrev Silas Cutler, ledende reverse engineer hos Stairwell, i rapporten.
Disse inkluderer manglen på en løsesumseddel til at give genoprettelsesinstruktioner eller automatiserede metoder til at overføre krypteringsnøgler til angribere, skrev han.
Den førstnævnte egenskab tilføjer en særlig uhyggelig kvalitet til Maui-angreb, bemærkede en sikkerhedsprofessionel.
"Cyberkriminelle ønsker at blive betalt hurtigt og effektivt, og med lidt information til offeret er angrebet mere og mere ondsindet af natur," bemærkede James McQuiggan, sikkerhedsbevidsthedsadvokat hos sikkerhedsfirmaet KnowBe4, i en e-mail til Threatpost.
Kirurgisk præcision
Et andet kendetegn ved Maui, der afviger fra anden ransomware, er, at det ser ud til at være designet til manuel eksekvering af en trusselsaktør, hvilket giver dets operatører mulighed for at "specificere, hvilke filer der skal krypteres, når de udføres og derefter eksfiltrere de resulterende runtime-artefakter," skrev Cutler.
Denne manuelle udførelse er en tendens, der er stigende blandt avancerede malware-operatører, da den tillader angribere kun at målrette mod de vigtigste aktiver på et netværk, bemærkede en sikkerhedsekspert.
"For virkelig organisatoriske lammende ransomware-angreb skal trusselsaktører manuelt identificere de vigtige aktiver og svage punkter for virkelig at nedkæmpe et offer," bemærkede John Bambenek, ledende trusselsjæger hos Netenrich, et sikkerheds- og driftsanalyse SaaS-firma, i en e-mail til Threatpost. "Automatiske værktøjer kan simpelthen ikke identificere alle de unikke aspekter af hver organisation for at muliggøre en fuldstændig fjernelse."
At udskille specifikke filer for at kryptere giver også angribere mere kontrol over et angreb, samtidig med at det gør det lidt mindre belastende for et offer at rydde op efter, bemærkede Tim McGuffin, direktør for adversarial Eegineering hos informationssikkerhedskonsulentfirmaet LARES Rådgivning.
"Ved at målrette mod specifikke filer kan angriberne vælge, hvad der er følsomt, og hvad der skal eksfiltreres på en meget mere taktisk måde sammenlignet med en 'spray-and-pray'-ransomware," sagde han. "Dette kan vise 'god tro' fra ransomware-gruppen ved at tillade målretning og gendannelse af kun følsomme filer og ikke at skulle genopbygge hele serveren, hvis [for eksempel] operativsystemfilerne også er krypteret."
Sundhedsvæsen under ild
Sundhedsindustrien har været mål for øgede angrebisær over de sidste to et halvt år under COVID-19-pandemien. Der er faktisk en række grunde til, at sektoren fortsat er et attraktivt mål for trusselsaktører, sagde eksperter.
Den ene er, fordi det er en økonomisk lukrativ branche, der også har en tendens til at have forældede it-systemer uden sofistikeret sikkerhed. Dette gør sundhedsorganisationer lavthængende frugter for cyberkriminelle, bemærkede en sikkerhedsprofessionel.
"Sundhedsvæsenet er altid målrettet på grund af deres driftsbudget på flere millioner dollar og amerikanske føderale retningslinjer, der gør det vanskeligt hurtigt at opdatere systemer,” bemærkede KnowBe4s McQuiggan.
Desuden kan angreb på sundhedsmyndigheder sætte folks helbred og endda deres liv i fare, hvilket kan gøre organisationer i sektoren mere tilbøjelige til at betale løsesummer til kriminelle med det samme, bemærkede eksperter.
"Behovet for at genoprette driften så hurtigt som muligt kan få sundhedsorganisationer til lettere og hurtigere at betale ethvert afpresningskrav, der stammer fra ransomware," bemærkede Chris Clements, vicepræsident for løsningsarkitektur hos cybersikkerhedsfirmaet Cerberus Sentinel, i en e-mail til Threatpost.
Fordi cyberkriminelle ved dette, sagde FBI, CISA og finansministeriet, at sektoren fortsat kan forvente angreb fra nordkoreanske statssponsorerede aktører.
Sundhedsoplysninger er også meget værdifulde for trusselsaktører på grund af dens følsomme og private karakter, hvilket gør det nemt at videresælge på cyberkriminelle markedspladser såvel som nyttigt til at konstruere "højt skræddersyede sekundære socialingeniørangrebskampagner," bemærkede Clements.
Angrebssekvens
Med henvisning til Stairwell-rapporten leverede føderale agenturer en oversigt over, hvordan et angreb fra Maui ransomware - installeret som en krypteringsbinær kaldet "maui.exe" - krypterer specifikke filer på en organisations system.
Ved hjælp af en kommandolinjegrænseflade interagerer trusselsaktører med ransomwaren for at identificere, hvilke filer der skal krypteres, ved hjælp af en kombination af Advanced Encryption Standard (AES), RSA og XOR-kryptering.
Først krypterer Maui målfiler med AES 128-bit kryptering, og tildeler hver fil en unik AES-nøgle. En brugerdefineret header indeholdt i hver fil, der inkluderer filens oprindelige sti, gør det muligt for Maui at identificere tidligere krypterede filer. Headeren indeholder også krypterede kopier af AES-nøglen, sagde forskere.
Maui krypterer hver AES-nøgle med RSA-kryptering og indlæser RSA offentlige (maui.key) og private (maui.evd) nøgler i samme mappe som sig selv. Den koder derefter den offentlige RSA-nøgle (maui.key) ved hjælp af XOR-kryptering med en XOR-nøgle, der er genereret fra harddiskoplysninger.
Under kryptering opretter Maui en midlertidig fil for hver fil, den krypterer ved hjælp af GetTempFileNameW(), og bruger denne fil til at iscenesætte output fra kryptering, sagde forskere. Efter kryptering af filer opretter Maui maui.log, som indeholder output fra Maui-udførelse og sandsynligvis vil blive eksfiltreret af trusselsaktører og dekrypteret ved hjælp af tilhørende dekrypteringsværktøjer.
Tilmeld dig nu til dette LIVE-EVENT MANDAG DEN 11. JULI: Slut dig til Threatpost og Intel Securitys Tom Garrison i en live-samtale om innovation, der gør det muligt for interessenter at være på forkant med et dynamisk trusselslandskab, og hvad Intel Security har lært af deres seneste undersøgelse i samarbejde med Ponemon Institue. Begivenhedsdeltagere opfordres til forhåndsvise rapporten og stil spørgsmål under den levende diskussion. Lær mere og tilmeld dig her.
