Az államilag szponzorált szereplők a folyamatos támadások során telepítik az egyedülálló kártevőt – amely meghatározott fájlokat céloz meg, és nem hagy feljegyzést zsarolóprogramokról.
Az amerikai szövetségi hatóságok szerint több szövetségi ügynökség figyelmezteti az egészségügyi szervezeteket, hogy az észak-koreai állam által támogatott szereplők támadásai fenyegetik őket, akik egyedülálló zsarolóprogramot alkalmaznak, amely sebészeti pontossággal célozza meg a fájlokat.
Az észak-koreai fenyegetőzők legalább 2021 májusa óta használnak Maui ransomware-t az egészségügyi és közegészségügyi szektor szervezeteinek megcélzására. közös tanácsadó a Szövetségi Nyomozó Iroda (FBI), a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) és a Pénzügyminisztérium (Treasury) adta ki szerdán.
A szervezeteknek figyelniük kell a kompromisszum jeleit, és intézkedéseket kell tenniük az ilyen támadások ellen, amelyek mindegyike szerepel a szövetségi tanácsban.
Ezen túlmenően, ha a szervezetek támadás áldozatává válnak, az ügynökségek azt javasolják, hogy tartózkodjanak a kért váltságdíj kifizetésétől, "mivel ez nem garantálja az iratok és iratok visszaszerzését, és szankciók kockázatával járhat" - írták a tanácsban.
Egyedülálló Ransomware
Maui – amely szerint legalább 2021 áprilisa óta aktív jelentés a Stairwell kiberbiztonsági cég zsarolóprogramján – néhány egyedi jellemzővel rendelkezik, amelyek megkülönböztetik a jelenleg futó ransomware-as-a-service (RaaS) fenyegetésektől.
„A Maui azért tűnt ki számunkra, mert hiányzott számos olyan kulcsfontosságú funkció, amelyet általában a RaaS-szolgáltatók szerszámainál tapasztalunk” – írta a jelentésben Silas Cutler, a Stairwell vezető visszafejtő mérnöke.
Ezek közé tartozik a helyreállítási utasításokat biztosító váltságdíjlevél hiánya vagy a titkosítási kulcsok támadóknak való továbbítására szolgáló automatizált eszközök – írta.
Az előbbi jellemző különösen baljós minőséget ad a Maui támadásoknak – jegyezte meg egy biztonsági szakember.
„A kiberbűnözők gyorsan és hatékonyan akarnak fizetést kapni, és ha kevés információval rendelkeznek az áldozatról, a támadás egyre inkább rosszindulatú” – jegyezte meg James McQuiggan, a biztonsági cég biztonságtudatossági szószólója. KnowBe4, a Threatpostnak küldött e-mailben.
Sebészeti precizitás
A Maui másik jellemzője, amely eltér a többi zsarolóvírustól, az, hogy úgy tűnik, hogy a fenyegetést okozó szereplők kézi végrehajtására tervezték, lehetővé téve az üzemeltetői számára, hogy „meghatározzák, mely fájlokat titkosítsák a végrehajtás során, majd kiszűrjék a keletkező futásidejű melléktermékeket” – írta Cutler.
Ez a kézi végrehajtás a haladó rosszindulatú programok üzemeltetői körében egyre terjedő tendencia, mivel lehetővé teszi a támadók számára, hogy csak a hálózat legfontosabb eszközeit célozzák meg – jegyezte meg egy biztonsági szakember.
„A valóban szervezetileg megbénító zsarolóvírus-támadásokhoz a fenyegetés szereplőinek manuálisan kell azonosítaniuk a fontos eszközöket és a gyenge pontokat, hogy valóban legyőzzék az áldozatot” – jegyezte meg John Bambenek, a fenyegetések fő kutatója. Netenrich, egy biztonsági és műveleti elemző SaaS cég, a Threatpostnak küldött e-mailben. „Az automatizált eszközök egyszerűen nem képesek azonosítani az egyes szervezetek egyedi jellemzőit, hogy lehetővé tegyék a teljes eltávolítást.”
A titkosításra szánt fájlok különválasztása a támadóknak nagyobb irányítást biztosít a támadások felett, ugyanakkor valamivel kevésbé terheli az áldozatot a takarítás utáni takarítás – jegyezte meg Tim McGuffin, az információbiztonsági tanácsadó cég ellenséges Eegineering részlegének igazgatója. LARES Tanácsadó.
"Ha konkrét fájlokat céloznak meg, a támadók kiválaszthatják, hogy mi az érzékeny, és mi az, amit kiszűrnek, sokkal taktikusabb módon, mint egy "spray-and-pray" zsarolóvírushoz képest" - mondta. „Ez a ransomware-csoport „jóhiszeműségét” jelezheti azáltal, hogy csak az érzékeny fájlok célzását és helyreállítását teszi lehetővé, és nem kell a teljes szervert újraépíteni, ha [például] az operációs rendszer fájljai is titkosítva vannak.”
Egészségügyi tűz alatt
Az egészségipar már a fokozott támadások célpontja, különösen az elmúlt két és fél évben a COVID-19 járvány idején. Valójában számos oka van annak, hogy az ágazat továbbra is vonzó célpont a fenyegetés szereplői számára, mondták a szakértők.
Az egyik oka, hogy ez egy pénzügyileg jövedelmező iparág, amely általában elavult IT-rendszerekkel rendelkezik, kifinomult biztonság nélkül. Emiatt az egészségügyi szervezetek a kiberbűnözők számára a legkedvezőbbek, jegyezte meg egy biztonsági szakember.
„Az egészségügy az mindig célzott több millió dolláros működési költségvetésük és az Egyesült Államok szövetségi irányelvei miatt, amelyek megnehezítik a rendszerek gyors frissítését” – jegyezte meg McQuiggan, a KnowBe4 munkatársa.
Ráadásul az egészségügyi ügynökségek elleni támadások az emberek egészségét, sőt az életüket is veszélybe sodorhatják, ami azt eredményezheti, hogy az ágazat szervezetei nagyobb valószínűséggel azonnal váltságdíjat fizetnek a bűnözőknek – jegyezték meg szakértők.
„A műveletek lehető leggyorsabb helyreállításának szükségessége arra késztetheti az egészségügyi szervezeteket, hogy könnyebben és gyorsabban kiegyenlítsék a zsarolóprogramokból eredő zsarolási követeléseket” – jegyezte meg Chris Clements, a kiberbiztonsági vállalat megoldásarchitektúrájának alelnöke. Cerberus Sentinel, a Threatpostnak küldött e-mailben.
Mivel ezt a kiberbűnözők tudják, az FBI, a CISA és a Pénzügyminisztérium szerint a szektor továbbra is számíthat támadásokra az észak-koreai állam által támogatott szereplőktől.
Az egészségügyi információk rendkívül értékesek a fenyegetés szereplői számára is érzékeny és magánjellegük miatt, így könnyen eladhatók a kiberbűnözők piacain, valamint hasznosak „nagyon személyre szabott másodlagos szociális tervezési támadási kampányok elkészítéséhez” – jegyezte meg Clements.
A támadás sorrendje
A Stairwell jelentésre hivatkozva a szövetségi ügynökségek részletezték, hogyan titkosítja a Maui ransomware támadása – a „maui.exe” nevű titkosító binárisként telepítve – bizonyos fájlokat a szervezet rendszerén.
Egy parancssori interfész segítségével a fenyegetés szereplői együttműködnek a zsarolóvírussal, hogy azonosítsák, mely fájlokat kell titkosítani, az Advanced Encryption Standard (AES), az RSA és az XOR titkosítás kombinációjával.
A First Maui AES 128 bites titkosítással titkosítja a célfájlokat, és minden fájlhoz egyedi AES-kulcsot rendel. Az egyes fájlokban található egyéni fejléc, amely tartalmazza a fájl eredeti elérési útját, lehetővé teszi a Maui számára, hogy azonosítsa a korábban titkosított fájlokat. A fejléc az AES-kulcs titkosított másolatait is tartalmazza, mondták a kutatók.
A Maui minden AES-kulcsot RSA-titkosítással titkosít, és az RSA nyilvános (maui.key) és privát (maui.evd) kulcsait ugyanabba a könyvtárba tölti be, mint saját magát. Ezután XOR titkosítással kódolja az RSA nyilvános kulcsot (maui.key) a merevlemez információiból előállított XOR kulccsal.
A titkosítás során a Maui a GetTempFileNameW() segítségével titkosított minden egyes fájlhoz létrehoz egy ideiglenes fájlt, és ezt a fájlt használja a titkosítás kimenetének szakaszolására, mondták a kutatók. A fájlok titkosítása után a Maui létrehozza a maui.log fájlt, amely a Maui végrehajtásának kimenetét tartalmazza, és valószínűleg a fenyegetés szereplői kiszűrik, és a kapcsolódó visszafejtő eszközök segítségével visszafejtik.
Regisztráljon most erre az ÉLŐ ESEMÉNYRE JÚLIUS 11-ÉN, HÉTFŐN: Csatlakozzon a Threatposthoz és az Intel Security munkatársához, Tom Garrisonhoz egy élő beszélgetésben az innovációról, amely lehetővé teszi az érdekelt felek számára, hogy a dinamikus fenyegetési környezet előtt maradjanak, és arról, hogy mit tanult az Intel Security a Ponemon Institue-vel közösen végzett legújabb tanulmányukból. A rendezvény résztvevőit arra biztatják tekintse meg a jelentést és kérdéseket tehet fel az élő beszélgetés során. Tudjon meg többet és regisztráljon itt.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://threatpost.com/healthcare-maui-ransomware/180154/
- :van
- :is
- :nem
- $ UP
- 2021
- 50
- 700
- a
- Rólunk
- Szerint
- aktív
- szereplők
- Hozzáteszi
- fejlett
- ellenséges
- tanácsadó
- szószóló
- AES
- Után
- ellen
- ügynökségek
- ügynökség
- előre
- Minden termék
- lehetővé téve
- lehetővé teszi, hogy
- Is
- között
- an
- analitika
- és a
- és az infrastruktúra
- bármilyen
- külön
- Megjelenik
- április
- építészet
- VANNAK
- AS
- kérdez
- szempontok
- Eszközök
- társult
- At
- támadás
- Támadások
- résztvevők
- vonzó
- Hatóság
- Automatizált
- tudatosság
- BE
- mert
- óta
- mindkét
- Bontás
- költségvetés
- Hivatal
- by
- hívott
- Kampányok
- TUD
- nem tud
- jellegzetes
- jellemzők
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- chris
- CISA
- ragadozó ölyv
- kombináció
- általában
- vállalat
- képest
- teljes
- kompromisszum
- konstrukció
- tanácsadó
- tartalmazott
- tartalmaz
- folytatódik
- tovább
- ellenőrzés
- Beszélgetés
- példányban
- Covid-19
- teremt
- bűnözők
- bénító
- Jelenleg
- szokás
- KIBERBŰNÖZŐ
- kiberbűnözők
- Kiberbiztonság
- Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség
- kiberbiztonsági cég
- igények
- osztály
- bevezetéséhez
- tervezett
- nehéz
- Igazgató
- vita
- do
- nem
- Ennek
- Dollár
- le-
- hajtás
- két
- alatt
- dinamikus
- minden
- könnyű
- hatékonyan
- foglalkoztatás
- lehetővé
- lehetővé téve
- ösztönözni
- titkosított
- titkosítás
- mérnök
- Mérnöki
- Egész
- különösen
- Még
- esemény
- példa
- végrehajtó
- végrehajtás
- vár
- szakértők
- zsarolás
- Divat
- FBI
- Jellemzők
- Szövetségi
- Szövetségi Nyomozó Iroda
- filé
- Fájlok
- pénzügyileg
- Találjon
- Cég
- A
- Korábbi
- ból ből
- generált
- kap
- ad
- Csoport
- garancia
- irányelvek
- fél
- Kemény
- merevlemez
- Legyen
- tekintettel
- he
- Egészség
- egészségügyi
- egészségügyi ágazat
- nagyon
- Hogyan
- http
- HTTPS
- vadász
- azonosítani
- if
- fontos
- in
- tartalmaz
- beleértve
- magában foglalja a
- <p></p>
- növekvő
- egyre inkább
- mutatók
- ipar
- információ
- információ biztonság
- infosec
- Infrastruktúra
- Innováció
- utasítás
- Intel
- kölcsönhatásba
- Felület
- vizsgálat
- Kiadott
- IT
- ITS
- maga
- james
- János
- csatlakozik
- közös
- július
- éppen
- Kulcs
- kulcsok
- Ismer
- korea
- koreai
- hiány
- táj
- keresztnév
- legutolsó
- tanult
- legkevésbé
- kevesebb
- Valószínű
- kis
- él
- életek
- terhelések
- log
- jövedelmező
- csinál
- KÉSZÍT
- Gyártás
- malware
- kézikönyv
- kézzel
- piacterek
- max-width
- Lehet..
- eszközök
- esetleg
- hétfő
- több
- a legtöbb
- sok
- több millió
- Természet
- Szükség
- hálózat
- Hírlevél
- nem
- Északi
- Észak Kórea
- megjegyezni
- neves
- Most
- szám
- megfigyelt
- of
- on
- ONE
- folyamatban lévő
- csak
- üzemeltetési
- operációs rendszer
- Művelet
- üzemeltetők
- or
- szervezet
- szervezeti
- szervezetek
- eredeti
- Más
- ki
- teljesítmény
- felett
- áttekintés
- fizetett
- különösen
- Létrehozása
- ösvény
- Fizet
- fizet
- emberek
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- pont
- lehetséges
- Pontosság
- elnök
- korábban
- Fő
- magán
- szakmai
- ad
- feltéve,
- szolgáltatók
- nyilvános
- közegészségügy
- nyilvános kulcs
- tesz
- világítás
- Kérdések
- gyorsan
- Váltságdíj
- ransomware
- Ransomware támadások
- készségesen
- miatt
- ajánl
- nyilvántartások
- felépülés
- Regisztráció
- jelentést
- kért
- kutatók
- értékesíti
- visszaad
- kapott
- fordított
- Kockázat
- kockázatok
- rsa
- s
- SaaS
- Mondott
- azonos
- Szankciók
- másodlagos
- szektor
- biztonság
- Biztonsági tudatosság
- lát
- érzékeny
- szerver
- készlet
- számos
- kellene
- előadás
- egyszerűen
- óta
- So
- Közösség
- Szociális tervezés
- Megoldások
- néhány
- kifinomult
- különleges
- Színpad
- érdekeltek
- standard
- tartózkodás
- Tanulmány
- ilyen
- sebészeti
- gyorsan
- rendszer
- Systems
- taktikai
- szabott
- Vesz
- cél
- célzott
- célzás
- célok
- ideiglenes
- hajlamos
- hogy
- A
- azok
- maguk
- akkor
- Ott.
- ők
- ezt
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- Tim
- nak nek
- Tomi
- szerszámok
- kincstár
- tendencia
- valóban
- kettő
- nekünk
- alatt
- egyedi
- Frissítések
- us
- használ
- segítségével
- Értékes
- vice
- Alelnök
- Áldozat
- akar
- figyelmeztetés
- we
- Szerda
- JÓL
- Mit
- Mi
- amikor
- ami
- míg
- lesz
- val vel
- nélkül
- írt
- év
- zephyrnet