Amerikai egészségügyi szervezetek a Maui Ransomware ellen

Az amerikai szövetségi hatóságok szerint több szövetségi ügynökség figyelmezteti az egészségügyi szervezeteket, hogy az észak-koreai állam által támogatott szereplők támadásai fenyegetik őket, akik egyedülálló zsarolóprogramot alkalmaznak, amely sebészeti pontossággal célozza meg a fájlokat.

Az észak-koreai fenyegetőzők legalább 2021 májusa óta használnak Maui ransomware-t az egészségügyi és közegészségügyi szektor szervezeteinek megcélzására. közös tanácsadó a Szövetségi Nyomozó Iroda (FBI), a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) és a Pénzügyminisztérium (Treasury) adta ki szerdán.

A szervezeteknek figyelniük kell a kompromisszum jeleit, és intézkedéseket kell tenniük az ilyen támadások ellen, amelyek mindegyike szerepel a szövetségi tanácsban.

Ezen túlmenően, ha a szervezetek támadás áldozatává válnak, az ügynökségek azt javasolják, hogy tartózkodjanak a kért váltságdíj kifizetésétől, "mivel ez nem garantálja az iratok és iratok visszaszerzését, és szankciók kockázatával járhat" - írták a tanácsban.

Egyedülálló Ransomware

Maui – amely szerint legalább 2021 áprilisa óta aktív jelentés a Stairwell kiberbiztonsági cég zsarolóprogramján – néhány egyedi jellemzővel rendelkezik, amelyek megkülönböztetik a jelenleg futó ransomware-as-a-service (RaaS) fenyegetésektől.

„A Maui azért tűnt ki számunkra, mert hiányzott számos olyan kulcsfontosságú funkció, amelyet általában a RaaS-szolgáltatók szerszámainál tapasztalunk” – írta a jelentésben Silas Cutler, a Stairwell vezető visszafejtő mérnöke.

Ezek közé tartozik a helyreállítási utasításokat biztosító váltságdíjlevél hiánya vagy a titkosítási kulcsok támadóknak való továbbítására szolgáló automatizált eszközök – írta.

Az előbbi jellemző különösen baljós minőséget ad a Maui támadásoknak – jegyezte meg egy biztonsági szakember.

„A kiberbűnözők gyorsan és hatékonyan akarnak fizetést kapni, és ha kevés információval rendelkeznek az áldozatról, a támadás egyre inkább rosszindulatú” – jegyezte meg James McQuiggan, a biztonsági cég biztonságtudatossági szószólója. KnowBe4, a Threatpostnak küldött e-mailben.

Sebészeti precizitás

A Maui másik jellemzője, amely eltér a többi zsarolóvírustól, az, hogy úgy tűnik, hogy a fenyegetést okozó szereplők kézi végrehajtására tervezték, lehetővé téve az üzemeltetői számára, hogy „meghatározzák, mely fájlokat titkosítsák a végrehajtás során, majd kiszűrjék a keletkező futásidejű melléktermékeket” – írta Cutler.

Ez a kézi végrehajtás a haladó rosszindulatú programok üzemeltetői körében egyre terjedő tendencia, mivel lehetővé teszi a támadók számára, hogy csak a hálózat legfontosabb eszközeit célozzák meg – jegyezte meg egy biztonsági szakember.

„A valóban szervezetileg megbénító zsarolóvírus-támadásokhoz a fenyegetés szereplőinek manuálisan kell azonosítaniuk a fontos eszközöket és a gyenge pontokat, hogy valóban legyőzzék az áldozatot” – jegyezte meg John Bambenek, a fenyegetések fő kutatója. Netenrich, egy biztonsági és műveleti elemző SaaS cég, a Threatpostnak küldött e-mailben. „Az automatizált eszközök egyszerűen nem képesek azonosítani az egyes szervezetek egyedi jellemzőit, hogy lehetővé tegyék a teljes eltávolítást.”

A titkosításra szánt fájlok különválasztása a támadóknak nagyobb irányítást biztosít a támadások felett, ugyanakkor valamivel kevésbé terheli az áldozatot a takarítás utáni takarítás – jegyezte meg Tim McGuffin, az információbiztonsági tanácsadó cég ellenséges Eegineering részlegének igazgatója. LARES Tanácsadó.

"Ha konkrét fájlokat céloznak meg, a támadók kiválaszthatják, hogy mi az érzékeny, és mi az, amit kiszűrnek, sokkal taktikusabb módon, mint egy "spray-and-pray" zsarolóvírushoz képest" - mondta. „Ez a ransomware-csoport „jóhiszeműségét” jelezheti azáltal, hogy csak az érzékeny fájlok célzását és helyreállítását teszi lehetővé, és nem kell a teljes szervert újraépíteni, ha [például] az operációs rendszer fájljai is titkosítva vannak.”

Egészségügyi tűz alatt

Az egészségipar már a fokozott támadások célpontja, különösen az elmúlt két és fél évben a COVID-19 járvány idején. Valójában számos oka van annak, hogy az ágazat továbbra is vonzó célpont a fenyegetés szereplői számára, mondták a szakértők.

Az egyik oka, hogy ez egy pénzügyileg jövedelmező iparág, amely általában elavult IT-rendszerekkel rendelkezik, kifinomult biztonság nélkül. Emiatt az egészségügyi szervezetek a kiberbűnözők számára a legkedvezőbbek, jegyezte meg egy biztonsági szakember.

„Az egészségügy az mindig célzott több millió dolláros működési költségvetésük és az Egyesült Államok szövetségi irányelvei miatt, amelyek megnehezítik a rendszerek gyors frissítését” – jegyezte meg McQuiggan, a KnowBe4 munkatársa.

Ráadásul az egészségügyi ügynökségek elleni támadások az emberek egészségét, sőt az életüket is veszélybe sodorhatják, ami azt eredményezheti, hogy az ágazat szervezetei nagyobb valószínűséggel azonnal váltságdíjat fizetnek a bűnözőknek – jegyezték meg szakértők.

„A műveletek lehető leggyorsabb helyreállításának szükségessége arra késztetheti az egészségügyi szervezeteket, hogy könnyebben és gyorsabban kiegyenlítsék a zsarolóprogramokból eredő zsarolási követeléseket” – jegyezte meg Chris Clements, a kiberbiztonsági vállalat megoldásarchitektúrájának alelnöke. Cerberus Sentinel, a Threatpostnak küldött e-mailben.

Mivel ezt a kiberbűnözők tudják, az FBI, a CISA és a Pénzügyminisztérium szerint a szektor továbbra is számíthat támadásokra az észak-koreai állam által támogatott szereplőktől.

Az egészségügyi információk rendkívül értékesek a fenyegetés szereplői számára is érzékeny és magánjellegük miatt, így könnyen eladhatók a kiberbűnözők piacain, valamint hasznosak „nagyon személyre szabott másodlagos szociális tervezési támadási kampányok elkészítéséhez” – jegyezte meg Clements.

A támadás sorrendje

A Stairwell jelentésre hivatkozva a szövetségi ügynökségek részletezték, hogyan titkosítja a Maui ransomware támadása – a „maui.exe” nevű titkosító binárisként telepítve – bizonyos fájlokat a szervezet rendszerén.

Egy parancssori interfész segítségével a fenyegetés szereplői együttműködnek a zsarolóvírussal, hogy azonosítsák, mely fájlokat kell titkosítani, az Advanced Encryption Standard (AES), az RSA és az XOR titkosítás kombinációjával.

A First Maui AES 128 bites titkosítással titkosítja a célfájlokat, és minden fájlhoz egyedi AES-kulcsot rendel. Az egyes fájlokban található egyéni fejléc, amely tartalmazza a fájl eredeti elérési útját, lehetővé teszi a Maui számára, hogy azonosítsa a korábban titkosított fájlokat. A fejléc az AES-kulcs titkosított másolatait is tartalmazza, mondták a kutatók.

A Maui minden AES-kulcsot RSA-titkosítással titkosít, és az RSA nyilvános (maui.key) és privát (maui.evd) kulcsait ugyanabba a könyvtárba tölti be, mint saját magát. Ezután XOR titkosítással kódolja az RSA nyilvános kulcsot (maui.key) a merevlemez információiból előállított XOR kulccsal.

A titkosítás során a Maui a GetTempFileNameW() segítségével titkosított minden egyes fájlhoz létrehoz egy ideiglenes fájlt, és ezt a fájlt használja a titkosítás kimenetének szakaszolására, mondták a kutatók. A fájlok titkosítása után a Maui létrehozza a maui.log fájlt, amely a Maui végrehajtásának kimenetét tartalmazza, és valószínűleg a fenyegetés szereplői kiszűrik, és a kapcsolódó visszafejtő eszközök segítségével visszafejtik.

Regisztráljon most erre az ÉLŐ ESEMÉNYRE JÚLIUS 11-ÉN, HÉTFŐN: Csatlakozzon a Threatposthoz és az Intel Security munkatársához, Tom Garrisonhoz egy élő beszélgetésben az innovációról, amely lehetővé teszi az érdekelt felek számára, hogy a dinamikus fenyegetési környezet előtt maradjanak, és arról, hogy mit tanult az Intel Security a Ponemon Institue-vel közösen végzett legújabb tanulmányukból. A rendezvény résztvevőit arra biztatják tekintse meg a jelentést és kérdéseket tehet fel az élő beszélgetés során. Tudjon meg többet és regisztráljon itt.