Yhdysvaltain terveydenhuoltoorganisaatiot, joihin on kohdistettu Maui Ransomware

Yhdysvaltain liittovaltion viranomaisten mukaan useat liittovaltion virastot varoittavat terveydenhuoltoorganisaatioita siitä, että niitä uhkaa Pohjois-Korean valtion tukemien toimijoiden hyökkäyksiä, jotka käyttävät ainutlaatuista lunnasohjelmaa, joka kohdistuu tiedostoihin kirurgisella tarkkuudella.

Uhkailijat Pohjois-Koreasta ovat käyttäneet Mauin kiristysohjelmia ainakin toukokuusta 2021 lähtien terveydenhuollon ja kansanterveysalan organisaatioiden kohdistamiseen. yhteinen neuvonta julkaissut keskiviikkona Federal Bureau of Investigation (FBI), kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) ja valtiovarainministeriö (Treasury).

Organisaatioiden tulee etsiä indikaattoreita kompromisseista ja ryhtyä lievennyksiin tällaisia ​​hyökkäyksiä vastaan, jotka molemmat sisältyvät liittovaltion neuvoihin.

Lisäksi, jos organisaatiot joutuvat hyökkäyksen uhriksi, virastot suosittelevat, että ne pidättäytyvät maksamasta pyydetty lunnaita, "koska tämä ei takaa tiedostojen ja tietueiden palauttamista ja saattaa aiheuttaa sanktioriskejä", he kirjoittivat neuvonnassa.

Ainutlaatuinen Ransomware

Maui, joka on ollut aktiivinen ainakin huhtikuusta 2021 lähtien raportti kyberturvallisuusyrityksen Stairwellin lunnasohjelmassa – sillä on joitakin ainutlaatuisia ominaisuuksia, jotka erottavat sen muista tällä hetkellä pelissä olevista ransomware-as-a-service (RaaS) -uhkista.

"Maui erottui meistä useiden tärkeimpien ominaisuuksien puutteen vuoksi, joita näemme yleensä RaaS-toimittajien työkaluilla", Stairwellin johtaja Silas Cutler kirjoitti raportissa.

Tällaisia ​​ovat muun muassa palautusohjeiden tai automaattisten keinojen välittäminen salausavainten hyökkääjille puuttuminen, hän kirjoitti.

Edellinen ominaisuus lisää erityisen synkän laadun Mauin hyökkäyksiin, huomautti eräs turvallisuusammattilainen.

"Kyberrikolliset haluavat saada palkkaa nopeasti ja tehokkaasti, ja jos uhrille on vähän tietoa, hyökkäys on luonteeltaan yhä haitallisempi", sanoi turvayrityksen turvallisuustietoisuuden puolestapuhuja James McQuiggan. KnowBe4, sähköpostitse Threatpostille.

Kirurginen tarkkuus

Toinen Mauin ominaisuus, joka eroaa muista kiristysohjelmista, on se, että se näyttää olevan suunniteltu uhkatoimijan suorittamaan manuaalisesti, mikä antaa sen operaattoreille mahdollisuuden "määrittää, mitkä tiedostot salataan sitä suoritettaessa ja sitten suodattaa tuloksena olevat ajonaikaiset artefaktit", Cutler kirjoitti.

Tämä manuaalinen suoritus on trendi, joka on lisääntymässä edistyneiden haittaohjelmaoperaattoreiden keskuudessa, koska sen avulla hyökkääjät voivat kohdistaa vain verkon tärkeimpiin resursseihin, huomautti eräs tietoturva-ammattilainen.

"Todella organisatorisia lamauttavia kiristysohjelmahyökkäyksiä varten uhkatekijöiden on tunnistettava manuaalisesti tärkeät omaisuudet ja heikot kohdat, jotta uhri voidaan todella tuhota", huomautti John Bambenek, yrityksen tärkein uhkien metsästäjä. Netenrich, tietoturva- ja toiminta-analytiikka SaaS-yritys, sähköpostitse Threatpostille. "Automatisoidut työkalut eivät yksinkertaisesti pysty tunnistamaan jokaisen organisaation kaikkia ainutlaatuisia ominaisuuksia täydellisen poistamisen mahdollistamiseksi."

Tiettyjen tiedostojen valitseminen salattavaksi antaa myös hyökkääjille paremman hallinnan hyökkäyksestä ja samalla tekee uhrin siivoamisesta hieman vähemmän rasittavaa, huomautti Tim McGuffin, tietoturvakonsulttiyrityksen kilpailevan Eegineeringin johtaja. LARES-konsultointi.

"Kohdistamalla tiettyihin tiedostoihin hyökkääjät voivat valita, mikä on arkaluonteista ja mitä suodattaa, paljon taktisemmin verrattuna "spray-and-pray" -lunnasohjelmiin", hän sanoi. "Tämä voi osoittaa kiristyshaittaohjelmaryhmän vilpittömän mielen sallimalla vain arkaluontoisten tiedostojen kohdistamisen ja palauttamisen eikä koko palvelinta tarvitse rakentaa uudelleen, jos [esimerkiksi] käyttöjärjestelmän tiedostot ovat myös salattuja."

Terveydenhuolto tulessa

Terveydenhuoltoala on ollut lisääntyneiden hyökkäysten kohteena, varsinkin viimeisen kahden ja puolen vuoden aikana COVID-19-pandemian aikana. Asiantuntijat sanoivatkin, että on monia syitä, miksi ala on edelleen houkutteleva kohde uhkatoimijoille.

Yksi johtuu siitä, että se on taloudellisesti tuottoisa toimiala, jolla on myös yleensä vanhentuneita IT-järjestelmiä ilman kehittynyttä tietoturvaa. Tämä tekee terveydenhuollon organisaatioista alhaisia ​​hedelmiä kyberrikollisille, huomautti eräs tietoturva-ammattilainen.

"Terveydenhuolto on aina kohdennettuna useiden miljoonien dollarien toimintabudjettinsa ja Yhdysvaltain liittovaltion ohjeiden vuoksi, jotka vaikeuttavat järjestelmien nopeaa päivittämistä”, KnowBe4:n McQuiggan huomautti.

Lisäksi terveydenhuollon virastoihin kohdistuvat hyökkäykset voivat vaarantaa ihmisten terveyden ja jopa hengen, mikä saattaa saada alan organisaatiot maksamaan heti lunnaita rikollisille, asiantuntijat huomauttavat.

"Tarve palauttaa toiminta mahdollisimman nopeasti voi saada terveydenhuollon organisaatiot maksamaan helpommin ja nopeammin kaikki kiristysvaatimukset, jotka johtuvat kiristysohjelmista", totesi kyberturvallisuusyhtiön ratkaisuarkkitehtuurista vastaava johtaja Chris Clements. Cerberus Sentinel, sähköpostissa Threatpostille.

Koska kyberrikolliset tietävät tämän, FBI, CISA ja valtiovarainministeriö sanoivat, että ala voi edelleen odottaa hyökkäyksiä Pohjois-Korean valtion tukemilta toimijoilta.

Terveydenhuollon tiedot ovat myös erittäin arvokkaita uhkatoimijoille sen arkaluontoisen ja yksityisen luonteensa vuoksi, mikä helpottaa jälleenmyyntiä kyberrikollisilla markkinapaikoilla sekä hyödyllistä "erittäin räätälöityjen toissijaisten sosiaalisen manipuloinnin hyökkäyskampanjoiden" rakentamisessa, Clements huomautti.

Hyökkäysjärjestys

Viitaten Stairwell-raporttiin liittovaltion virastot toimittivat erittelyn siitä, kuinka Maui-lunnasohjelman hyökkäys - joka on asennettu salausbinaariksi nimeltä "maui.exe" - salaa tiettyjä tiedostoja organisaation järjestelmässä.

Komentorivikäyttöliittymän avulla uhkatekijät ovat vuorovaikutuksessa kiristysohjelmien kanssa tunnistaakseen salattavat tiedostot käyttämällä Advanced Encryption Standard (AES), RSA- ja XOR-salauksen yhdistelmää.

First Maui salaa kohdetiedostot 128-bittisellä AES-salauksella ja määrittää jokaiselle tiedostolle ainutlaatuisen AES-avaimen. Jokaiseen tiedostoon sisältyvä mukautettu otsikko, joka sisältää tiedoston alkuperäisen polun, antaa Mauille mahdollisuuden tunnistaa aiemmin salatut tiedostot. Otsikko sisältää myös salattuja kopioita AES-avaimesta, tutkijat sanoivat.

Maui salaa jokaisen AES-avaimen RSA-salauksella ja lataa julkiset (maui.key) ja yksityiset (maui.evd) RSA-avaimet samaan hakemistoon itsensä kanssa. Sitten se koodaa julkisen RSA-avaimen (maui.key) käyttämällä XOR-salausta XOR-avaimella, joka on luotu kiintolevytiedoista.

Salauksen aikana Maui luo väliaikaisen tiedoston jokaiselle tiedostolle, jonka se salaa GetTempFileNameW() -toiminnolla, ja käyttää tätä tiedostoa salauksen tulosteen vaiheittamiseen, tutkijat sanoivat. Tiedostojen salaamisen jälkeen Maui luo maui.log-tiedoston, joka sisältää Maui-suorituksen tulosteet ja jonka todennäköisesti uhkaavat toimijat suodattavat ja purkaa salauksen siihen liittyvillä salauksenpurkutyökaluilla.

Ilmoittaudu nyt tähän LIVE-TAPAHTUMAAN MAANANTAI 11. heinäkuuta: Liity Threatpostin ja Intel Securityn Tom Garrisonin kanssa livekeskusteluun innovaatioista, joiden avulla sidosryhmät voivat pysyä dynaamisen uhkamaiseman edellä ja siitä, mitä Intel Security oppi heidän uusimmasta tutkimuksestaan ​​yhteistyössä Ponemon Instituen kanssa. Tapahtumaan osallistujia kannustetaan esikatsella raporttia ja esittää kysymyksiä suoran keskustelun aikana. Lisätietoja ja rekisteröidy täällä.