Zdravstvene organizacije v ZDA so napadene z izsiljevalsko programsko opremo Maui

Več zveznih agencij opozarja zdravstvene organizacije, da jim grozijo napadi severnokorejskih akterjev, ki jih sponzorira država in uporabljajo edinstveno izsiljevalsko programsko opremo, ki cilja na datoteke s kirurško natančnostjo, poročajo zvezne oblasti ZDA.

Akterji groženj iz Severne Koreje uporabljajo izsiljevalsko programsko opremo Maui vsaj od maja 2021, da ciljajo na organizacije v sektorju zdravstvenega varstva in javnega zdravja. skupno svetovanje so v sredo izdali Zvezni preiskovalni urad (FBI), Agencija za kibernetsko varnost in varnost infrastrukture (CISA) in Ministrstvo za finance (Treasury).

Organizacije bi morale paziti na znake kompromisa in sprejeti ukrepe za ublažitev takšnih napadov, oboje pa je vključeno v zvezno svetovanje.

Poleg tega, če se organizacije res znajdejo kot žrtve napada, agencije priporočajo, da se vzdržijo plačila kakršne koli zahtevane odkupnine, "saj to ne zagotavlja, da bodo datoteke in zapisi obnovljeni, in lahko predstavlja tveganje sankcij," so zapisali v svetovanju.

Edinstvena izsiljevalska programska oprema

Maui–ki je po navedbah aktiven vsaj od aprila 2021 Poročilo o izsiljevalski programski opremi podjetja za kibernetsko varnost Stairwell– ima nekaj edinstvenih značilnosti, ki jo ločujejo od drugih groženj izsiljevalske programske opreme kot storitve (RaaS), ki so trenutno v igri.

»Maui nam je izstopal zaradi pomanjkanja več ključnih funkcij, ki jih običajno vidimo pri orodjih ponudnikov RaaS,« je v poročilu zapisal Silas Cutler, glavni obratni inženir pri Stairwellu.

Ti vključujejo pomanjkanje obvestila o odkupnini, ki bi zagotovilo navodila za obnovitev ali avtomatizirana sredstva za prenos šifrirnih ključev napadalcem, je zapisal.

Nek varnostni strokovnjak je opazil, da prva značilnost napadom na Maui doda posebno zloveščo kakovost.

"Kiber kriminalci želijo biti plačani hitro in učinkovito, in z malo informacijami za žrtev je napad vse bolj zlonameren," je opazil James McQuiggan, zagovornik varnostne ozaveščenosti pri varnostnem podjetju. KnowBe4, v e-pošti na naslov Threatpost.

Kirurška natančnost

Druga značilnost Mauija, ki se razlikuje od druge izsiljevalske programske opreme, je, da se zdi, da je zasnovana za ročno izvajanje s strani akterja grožnje, kar njenim operaterjem omogoča, da "določijo, katere datoteke naj šifrirajo, ko jo izvajajo, in nato izločijo nastale artefakte med izvajanjem," je zapisal Cutler.

Ta ročna izvedba je trend, ki se povečuje med naprednimi operaterji zlonamerne programske opreme, saj napadalcem omogoča, da ciljajo le na najpomembnejša sredstva v omrežju, je opozoril en strokovnjak za varnost.

»Za resnično organizacijsko hromeče napade z izsiljevalsko programsko opremo morajo akterji groženj ročno prepoznati pomembna sredstva in šibke točke, da resnično uničijo žrtev,« je opazil John Bambenek, glavni lovec na grožnje pri Netenrich, podjetje SaaS za varnost in operacijsko analitiko, v e-poštnem sporočilu Threatpostu. "Avtomatizirana orodja preprosto ne morejo prepoznati vseh edinstvenih vidikov vsake organizacije, da bi omogočili popolno odstranitev."

Izločanje določenih datotek za šifriranje prav tako daje napadalcem več nadzora nad napadom, hkrati pa je žrtev nekoliko manj obremenjujoča, da počisti za njimi, je opozoril Tim McGuffin, direktor adversarial Eegineering v svetovalnem podjetju za informacijsko varnost. LARES Consulting.

"Z ciljanjem na določene datoteke lahko napadalci izberejo, kaj je občutljivo in kaj bodo izločili na veliko bolj taktičen način v primerjavi z izsiljevalsko programsko opremo 'spray and pray'," je dejal. "To lahko kaže 'dobro vero' skupine izsiljevalskih programov, tako da omogoča ciljanje in obnovitev samo občutljivih datotek in ni treba ponovno zgraditi celotnega strežnika, če so [na primer] tudi datoteke operacijskega sistema šifrirane."

Zdravstvo pod ognjem

Zdravstvena industrija je bila tarča povečanih napadov, zlasti v zadnjih dveh letih in pol med pandemijo COVID-19. Dejansko obstajajo številni razlogi, da je sektor še vedno privlačna tarča za akterje groženj, pravijo strokovnjaki.

Ena je zato, ker gre za finančno donosno industrijo, ki ima običajno tudi zastarele sisteme IT brez sofisticirane varnosti. Zaradi tega so zdravstvene organizacije nezahtevne za kibernetske kriminalce, je opozoril en strokovnjak za varnost.

»Zdravstvo je vedno ciljano zaradi njihovega večmilijonskega operativnega proračuna in ameriških zveznih smernic, ki otežujejo hitro posodobitev sistemov,« je opazil McQuiggan iz KnowBe4.

Poleg tega lahko napadi na zdravstvene agencije ogrozijo zdravje in celo njihova življenja ljudi, zaradi česar je verjetnost, da bodo organizacije v tem sektorju takoj plačale odkupnine kriminalcem, opažajo strokovnjaki.

"Potreba po čim hitrejši obnovitvi delovanja lahko spodbudi zdravstvene organizacije, da lažje in hitreje plačajo vse zahteve izsiljevanja, ki izvirajo iz izsiljevalske programske opreme," je dejal Chris Clements, podpredsednik za arhitekturo rešitev pri podjetju za kibernetsko varnost. Cerberus Sentinel, v e-poštnem sporočilu Threatpostu.

Ker kibernetski kriminalci to vedo, so FBI, CISA in ministrstvo za finance dejali, da lahko sektor še naprej pričakuje napade severnokorejskih akterjev, ki jih sponzorira država.

Podatki o zdravstvenem varstvu so prav tako zelo dragoceni za akterje groženj zaradi svoje občutljive in zasebne narave, zaradi česar jih je enostavno preprodati na trgih kibernetskih kriminalcev, prav tako pa so koristni za ustvarjanje »zelo prilagojenih napadov sekundarnega socialnega inženiringa«, je opazil Clements.

Zaporedje napadov

Sklicujoč se na poročilo Stairwell, so zvezne agencije podale razčlenitev, kako napad izsiljevalske programske opreme Maui – nameščene kot binarne šifrirne datoteke, imenovane »maui.exe« – šifrira določene datoteke v sistemu organizacije.

Z uporabo vmesnika ukazne vrstice akterji groženj komunicirajo z izsiljevalsko programsko opremo, da ugotovijo, katere datoteke naj šifrirajo, z uporabo kombinacije šifriranja Advanced Encryption Standard (AES), RSA in XOR.

First Maui šifrira ciljne datoteke s 128-bitnim šifriranjem AES in vsaki datoteki dodeli edinstven ključ AES. Glava po meri v vsaki datoteki, ki vključuje izvirno pot datoteke, omogoča Mauiju, da identificira predhodno šifrirane datoteke. Raziskovalci pravijo, da glava vsebuje tudi šifrirane kopije ključa AES.

Maui šifrira vsak ključ AES s šifriranjem RSA in naloži javne (maui.key) in zasebne (maui.evd) ključe RSA v isti imenik kot sam. Nato kodira javni ključ RSA (maui.key) z uporabo šifriranja XOR s ključem XOR, ki je ustvarjen iz informacij o trdem disku.

Med šifriranjem Maui ustvari začasno datoteko za vsako datoteko, ki jo šifrira z GetTempFileNameW(), in to datoteko uporabi za pripravo izhoda iz šifriranja, so povedali raziskovalci. Po šifriranju datotek Maui ustvari maui.log, ki vsebuje izhod iz izvajanja Maui in ga bodo akterji groženj verjetno izločili in dešifrirali s povezanimi orodji za dešifriranje.

Prijavite se zdaj za ta DOGODEK V ŽIVO v PONEDELJEK, 11. JULIJA: Pridružite se Threatpostu in Tomu Garrisonu iz Intel Security v pogovoru v živo o inovacijah, ki zainteresiranim stranem omogočajo, da ostanejo pred dinamično pokrajino groženj, in o tem, kaj se je Intel Security naučil iz svoje najnovejše študije v sodelovanju s Ponemon Institute. Udeležence dogodka pozivamo k predogled poročila in postavljajte vprašanja med razpravo v živo. Več o tem in se registrirajte tukaj.