Az államilag szponzorált szereplők a folyamatos támadások során telepítik az egyedülálló kártevőt – amely meghatározott fájlokat céloz meg, és nem hagy feljegyzést zsarolóprogramokról.
Az amerikai szövetségi hatóságok szerint több szövetségi ügynökség figyelmezteti az egészségügyi szervezeteket, hogy az észak-koreai állam által támogatott szereplők támadásai fenyegetik őket, akik egyedülálló zsarolóprogramot alkalmaznak, amely sebészeti pontossággal célozza meg a fájlokat.
Az észak-koreai fenyegetőzők legalább 2021 májusa óta használnak Maui ransomware-t az egészségügyi és közegészségügyi szektor szervezeteinek megcélzására. közös tanácsadó a Szövetségi Nyomozó Iroda (FBI), a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) és a Pénzügyminisztérium (Treasury) adta ki szerdán.
A szervezeteknek figyelniük kell a kompromisszum jeleit, és intézkedéseket kell tenniük az ilyen támadások ellen, amelyek mindegyike szerepel a szövetségi tanácsban.
Ezen túlmenően, ha a szervezetek támadás áldozatává válnak, az ügynökségek azt javasolják, hogy tartózkodjanak a kért váltságdíj kifizetésétől, "mivel ez nem garantálja az iratok és iratok visszaszerzését, és szankciók kockázatával járhat" - írták a tanácsban.
Egyedülálló Ransomware
Maui – amely szerint legalább 2021 áprilisa óta aktív jelentés a Stairwell kiberbiztonsági cég zsarolóprogramján – néhány egyedi jellemzővel rendelkezik, amelyek megkülönböztetik a jelenleg futó ransomware-as-a-service (RaaS) fenyegetésektől.
„A Maui azért tűnt ki számunkra, mert hiányzott számos olyan kulcsfontosságú funkció, amelyet általában a RaaS-szolgáltatók szerszámainál tapasztalunk” – írta a jelentésben Silas Cutler, a Stairwell vezető visszafejtő mérnöke.
Ezek közé tartozik a helyreállítási utasításokat biztosító váltságdíjlevél hiánya vagy a titkosítási kulcsok támadóknak való továbbítására szolgáló automatizált eszközök – írta.
Az előbbi jellemző különösen baljós minőséget ad a Maui támadásoknak – jegyezte meg egy biztonsági szakember.
„A kiberbűnözők gyorsan és hatékonyan akarnak fizetést kapni, és ha kevés információval rendelkeznek az áldozatról, a támadás egyre inkább rosszindulatú” – jegyezte meg James McQuiggan, a biztonsági cég biztonságtudatossági szószólója. KnowBe4, a Threatpostnak küldött e-mailben.
Sebészeti precizitás
A Maui másik jellemzője, amely eltér a többi zsarolóvírustól, az, hogy úgy tűnik, hogy a fenyegetést okozó szereplők kézi végrehajtására tervezték, lehetővé téve az üzemeltetői számára, hogy „meghatározzák, mely fájlokat titkosítsák a végrehajtás során, majd kiszűrjék a keletkező futásidejű melléktermékeket” – írta Cutler.
Ez a kézi végrehajtás a haladó rosszindulatú programok üzemeltetői körében egyre terjedő tendencia, mivel lehetővé teszi a támadók számára, hogy csak a hálózat legfontosabb eszközeit célozzák meg – jegyezte meg egy biztonsági szakember.
„A valóban szervezetileg megbénító zsarolóvírus-támadásokhoz a fenyegetés szereplőinek manuálisan kell azonosítaniuk a fontos eszközöket és a gyenge pontokat, hogy valóban legyőzzék az áldozatot” – jegyezte meg John Bambenek, a fenyegetések fő kutatója. Netenrich, egy biztonsági és műveleti elemző SaaS cég, a Threatpostnak küldött e-mailben. „Az automatizált eszközök egyszerűen nem képesek azonosítani az egyes szervezetek egyedi jellemzőit, hogy lehetővé tegyék a teljes eltávolítást.”
A titkosításra szánt fájlok különválasztása a támadóknak nagyobb irányítást biztosít a támadások felett, ugyanakkor valamivel kevésbé terheli az áldozatot a takarítás utáni takarítás – jegyezte meg Tim McGuffin, az információbiztonsági tanácsadó cég ellenséges Eegineering részlegének igazgatója. LARES Tanácsadó.
"Ha konkrét fájlokat céloznak meg, a támadók kiválaszthatják, hogy mi az érzékeny, és mi az, amit kiszűrnek, sokkal taktikusabb módon, mint egy "spray-and-pray" zsarolóvírushoz képest" - mondta. „Ez a ransomware-csoport „jóhiszeműségét” jelezheti azáltal, hogy csak az érzékeny fájlok célzását és helyreállítását teszi lehetővé, és nem kell a teljes szervert újraépíteni, ha [például] az operációs rendszer fájljai is titkosítva vannak.”
Egészségügyi tűz alatt
Az egészségipar már a fokozott támadások célpontja, különösen az elmúlt két és fél évben a COVID-19 járvány idején. Valójában számos oka van annak, hogy az ágazat továbbra is vonzó célpont a fenyegetés szereplői számára, mondták a szakértők.
Az egyik oka, hogy ez egy pénzügyileg jövedelmező iparág, amely általában elavult IT-rendszerekkel rendelkezik, kifinomult biztonság nélkül. Emiatt az egészségügyi szervezetek a kiberbűnözők számára a legkedvezőbbek, jegyezte meg egy biztonsági szakember.
„Az egészségügy az mindig célzott több millió dolláros működési költségvetésük és az Egyesült Államok szövetségi irányelvei miatt, amelyek megnehezítik a rendszerek gyors frissítését” – jegyezte meg McQuiggan, a KnowBe4 munkatársa.
Ráadásul az egészségügyi ügynökségek elleni támadások az emberek egészségét, sőt az életüket is veszélybe sodorhatják, ami azt eredményezheti, hogy az ágazat szervezetei nagyobb valószínűséggel azonnal váltságdíjat fizetnek a bűnözőknek – jegyezték meg szakértők.
„A műveletek lehető leggyorsabb helyreállításának szükségessége arra késztetheti az egészségügyi szervezeteket, hogy könnyebben és gyorsabban kiegyenlítsék a zsarolóprogramokból eredő zsarolási követeléseket” – jegyezte meg Chris Clements, a kiberbiztonsági vállalat megoldásarchitektúrájának alelnöke. Cerberus Sentinel, a Threatpostnak küldött e-mailben.
Mivel ezt a kiberbűnözők tudják, az FBI, a CISA és a Pénzügyminisztérium szerint a szektor továbbra is számíthat támadásokra az észak-koreai állam által támogatott szereplőktől.
Az egészségügyi információk rendkívül értékesek a fenyegetés szereplői számára is érzékeny és magánjellegük miatt, így könnyen eladhatók a kiberbűnözők piacain, valamint hasznosak „nagyon személyre szabott másodlagos szociális tervezési támadási kampányok elkészítéséhez” – jegyezte meg Clements.
A támadás sorrendje
A Stairwell jelentésre hivatkozva a szövetségi ügynökségek részletezték, hogyan titkosítja a Maui ransomware támadása – a „maui.exe” nevű titkosító binárisként telepítve – bizonyos fájlokat a szervezet rendszerén.
Egy parancssori interfész segítségével a fenyegetés szereplői együttműködnek a zsarolóvírussal, hogy azonosítsák, mely fájlokat kell titkosítani, az Advanced Encryption Standard (AES), az RSA és az XOR titkosítás kombinációjával.
A First Maui AES 128 bites titkosítással titkosítja a célfájlokat, és minden fájlhoz egyedi AES-kulcsot rendel. Az egyes fájlokban található egyéni fejléc, amely tartalmazza a fájl eredeti elérési útját, lehetővé teszi a Maui számára, hogy azonosítsa a korábban titkosított fájlokat. A fejléc az AES-kulcs titkosított másolatait is tartalmazza, mondták a kutatók.
A Maui minden AES-kulcsot RSA-titkosítással titkosít, és az RSA nyilvános (maui.key) és privát (maui.evd) kulcsait ugyanabba a könyvtárba tölti be, mint saját magát. Ezután XOR titkosítással kódolja az RSA nyilvános kulcsot (maui.key) a merevlemez információiból előállított XOR kulccsal.
A titkosítás során a Maui a GetTempFileNameW() segítségével titkosított minden egyes fájlhoz létrehoz egy ideiglenes fájlt, és ezt a fájlt használja a titkosítás kimenetének szakaszolására, mondták a kutatók. A fájlok titkosítása után a Maui létrehozza a maui.log fájlt, amely a Maui végrehajtásának kimenetét tartalmazza, és valószínűleg a fenyegetés szereplői kiszűrik, és a kapcsolódó visszafejtő eszközök segítségével visszafejtik.
Regisztráljon most erre az ÉLŐ ESEMÉNYRE JÚLIUS 11-ÉN, HÉTFŐN: Csatlakozzon a Threatposthoz és az Intel Security munkatársához, Tom Garrisonhoz egy élő beszélgetésben az innovációról, amely lehetővé teszi az érdekelt felek számára, hogy a dinamikus fenyegetési környezet előtt maradjanak, és arról, hogy mit tanult az Intel Security a Ponemon Institue-vel közösen végzett legújabb tanulmányukból. A rendezvény résztvevőit arra biztatják tekintse meg a jelentést és kérdéseket tehet fel az élő beszélgetés során. Tudjon meg többet és regisztráljon itt.