یو ایس ہیلتھ کیئر تنظیموں کو ماؤ رینسم ویئر سے نشانہ بنایا گیا۔

یو ایس ہیلتھ کیئر تنظیموں کو ماؤ رینسم ویئر سے نشانہ بنایا گیا۔

ٹائم سٹیمپ: 8 جولائی 2022 صبح 5:46 بجے
ماخذ نوڈ: 2974314

ریاستی سپانسر شدہ اداکار منفرد میلویئر تعینات کر رہے ہیں- جو مخصوص فائلوں کو نشانہ بناتا ہے اور رینسم ویئر کا کوئی نوٹ نہیں چھوڑتا ہے- جاری حملوں میں۔

امریکی وفاقی حکام کے مطابق، کئی وفاقی ایجنسیاں صحت کی دیکھ بھال کرنے والی تنظیموں کو متنبہ کر رہی ہیں کہ وہ شمالی کوریا کے ریاستی سرپرستی میں کام کرنے والے ایک انوکھے رینسم ویئر کو استعمال کر رہے ہیں جو سرجیکل درستگی کے ساتھ فائلوں کو نشانہ بناتے ہیں۔

شمالی کوریا کے دھمکی آمیز اداکار کم از کم مئی 2021 سے صحت عامہ اور صحت عامہ کے شعبے میں تنظیموں کو نشانہ بنانے کے لیے Maui ransomware کا استعمال کر رہے ہیں۔ ایک مشترکہ مشورہ فیڈرل بیورو آف انویسٹی گیشن (ایف بی آئی)، سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (سی آئی ایس اے) اور محکمہ خزانہ (خزانہ) کی طرف سے بدھ کو جاری کیا گیا۔

تنظیموں کو سمجھوتے کے اشارے پر نظر رکھنی چاہیے اور ایسے حملوں کے خلاف تخفیف اختیار کرنی چاہیے، یہ دونوں ہی وفاقی ایڈوائزری میں شامل ہیں۔

Infosec اندرونی نیوز لیٹر

مزید برآں، اگر تنظیمیں خود کو حملے کا شکار پاتی ہیں، ایجنسیاں تجویز کرتی ہیں کہ وہ کسی بھی مطلوبہ تاوان کی ادائیگی سے گریز کریں، "کیونکہ ایسا کرنے سے فائلیں اور ریکارڈ برآمد ہونے کی گارنٹی نہیں ہے اور اس سے پابندیوں کے خطرات لاحق ہوسکتے ہیں،" انہوں نے ایڈوائزری میں لکھا۔

منفرد رینسم ویئر

Maui – جو کہ کم از کم اپریل 2021 سے فعال ہے، کے مطابق ایک رپورٹ سائبرسیکیوریٹی فرم Stairwell- کے ransomware پر کچھ منفرد خصوصیات ہیں جو اسے دوسرے ransomware-as-a-service (RaaS) کے خطرات سے الگ کرتی ہیں۔

سٹیر ویل کے پرنسپل ریورس انجینئر سیلاس کٹلر نے رپورٹ میں لکھا، "ماؤئی کئی اہم خصوصیات کی کمی کی وجہ سے ہمارے سامنے کھڑا ہوا جو ہم عام طور پر RaaS فراہم کنندگان کے ٹولنگ کے ساتھ دیکھتے ہیں۔"

ان میں ریکوری کی ہدایات یا حملہ آوروں کو خفیہ کاری کی چابیاں منتقل کرنے کے خود کار طریقے فراہم کرنے کے لیے تاوان کے نوٹ کی کمی شامل ہے، اس نے لکھا۔

ایک سیکورٹی پروفیشنل نے مشاہدہ کیا کہ سابقہ ​​خصوصیت ماوئی حملوں میں خاص طور پر خطرناک معیار کا اضافہ کرتی ہے۔

"سائبر مجرموں کو تیزی سے اور مؤثر طریقے سے ادائیگی کرنا چاہتے ہیں، اور متاثرین کے لیے بہت کم معلومات کے ساتھ حملہ فطرت میں تیزی سے بدنیتی پر مبنی ہے،" جیمز میک کیوگن نے مشاہدہ کیا، سیکیورٹی فرم میں سیکیورٹی سے متعلق آگاہی کے وکیل۔ نال بی 4، Threatpost کو ایک ای میل میں۔

جراحی صحت سے متعلق

ماؤ کی ایک اور خصوصیت جو دوسرے رینسم ویئر سے ہٹ جاتی ہے وہ یہ ہے کہ ایسا لگتا ہے کہ اسے دھمکی دینے والے اداکار کے ذریعہ دستی طور پر عمل درآمد کے لئے ڈیزائن کیا گیا ہے ، جس سے اس کے آپریٹرز کو "یہ وضاحت کرنے کی اجازت دی گئی ہے کہ اس پر عمل کرتے وقت کن فائلوں کو انکرپٹ کرنا ہے اور پھر اس کے نتیجے میں رن ٹائم آرٹفیکٹس کو نکالنا ہے ،" کٹلر نے لکھا۔

یہ دستی عمل درآمد ایک ایسا رجحان ہے جو جدید میلویئر آپریٹرز میں بڑھتا جا رہا ہے، کیونکہ یہ حملہ آوروں کو نیٹ ورک پر صرف سب سے اہم اثاثوں کو نشانہ بنانے کی اجازت دیتا ہے، ایک سیکورٹی پروفیشنل نے نوٹ کیا۔

"حقیقی طور پر تنظیمی طور پر معذور رینسم ویئر حملوں کے لئے، خطرے کے اداکاروں کو دستی طور پر اہم اثاثوں اور کمزور نکات کی شناخت کرنے کی ضرورت ہے تاکہ کسی شکار کو صحیح معنوں میں نیچے لے جایا جا سکے،" جان بامبینک نے مشاہدہ کیا، خطرے کے پرنسپل ہنٹر نیٹنرچایک سیکورٹی اور آپریشنز اینالیٹکس SaaS فرم، Threatpost کو ایک ای میل میں۔ "خودکار ٹولز آسانی سے ہر تنظیم کے تمام منفرد پہلوؤں کی شناخت نہیں کر سکتے ہیں تاکہ ایک مکمل ٹیک ڈاؤن کو فعال کیا جا سکے۔"

انکرپٹ کرنے کے لیے مخصوص فائلوں کو اکٹھا کرنے سے حملہ آوروں کو حملے پر زیادہ کنٹرول حاصل ہوتا ہے جبکہ اس کے بعد متاثرہ شخص کو صاف کرنے کے لیے اس پر تھوڑا کم ٹیکس لگانا پڑتا ہے، انفارمیشن سیکیورٹی کنسلٹنگ فرم میں ایڈورسریئل ایجینیئرنگ کے ڈائریکٹر ٹم میک گفن نے نوٹ کیا۔ لارس کنسلٹنگ.

انہوں نے کہا، "مخصوص فائلوں کو نشانہ بنا کر، حملہ آوروں کو یہ انتخاب کرنا پڑتا ہے کہ کیا حساس ہے اور کیا چیز زیادہ حکمت عملی کے ساتھ 'اسپرے اینڈ پرے' رینسم ویئر کے مقابلے میں نکالنی ہے۔" "یہ رینسم ویئر گروپ کی طرف سے 'نیک نیتی' کا مظاہرہ کر سکتا ہے اور صرف حساس فائلوں کو ہدف بنانے اور بازیافت کرنے کی اجازت دے کر اور پورے سرور کو دوبارہ بنانے کی ضرورت نہیں ہے اگر آپریٹنگ سسٹم فائلیں بھی انکرپٹڈ ہیں۔"

آگ کے نیچے صحت کی دیکھ بھال

صحت کی دیکھ بھال کی صنعت رہی ہے۔ بڑھتے ہوئے حملوں کا ہدفخاص طور پر پچھلے ڈھائی سالوں میں CoVID-19 وبائی بیماری کے دوران. ماہرین نے کہا کہ درحقیقت، بہت سی وجوہات ہیں کہ یہ سیکٹر دھمکی آمیز اداکاروں کے لیے ایک پرکشش ہدف بنا ہوا ہے۔

ایک اس لیے کہ یہ ایک مالیاتی طور پر منافع بخش صنعت ہے جس میں جدید ترین سیکیورٹی کے بغیر پرانے آئی ٹی سسٹمز بھی ہوتے ہیں۔ یہ صحت کی دیکھ بھال کرنے والی تنظیموں کو سائبر کرائمینلز کے لیے کم لٹکانے والا پھل بناتا ہے، ایک سیکیورٹی پروفیشنل نے نوٹ کیا۔

"صحت کی دیکھ بھال ہے ہمیشہ نشانہ بنایا ان کے ملٹی ملین ڈالر کے آپریٹنگ بجٹ اور امریکی وفاقی رہنما خطوط کی وجہ سے جو سسٹمز کو تیزی سے اپ ڈیٹ کرنا مشکل بنا دیتے ہیں،" KnowBe4 کے McQuiggan نے مشاہدہ کیا۔

ماہرین نے مشاہدہ کیا کہ مزید برآں، صحت کی دیکھ بھال کرنے والی ایجنسیوں پر حملے لوگوں کی صحت اور یہاں تک کہ ان کی زندگیوں کو بھی خطرے میں ڈال سکتے ہیں، جس سے اس شعبے میں تنظیمیں مجرموں کو فوری طور پر تاوان ادا کرنے کا زیادہ امکان بنا سکتی ہیں۔

سائبرسیکیوریٹی کمپنی میں سولیوشن آرکیٹیکچر کے نائب صدر کرس کلیمینٹس نے نوٹ کیا، "جلد سے جلد کاموں کو بحال کرنے کی ضرورت صحت کی دیکھ بھال کرنے والی تنظیموں کو رینسم ویئر سے پیدا ہونے والے بھتہ خوری کے مطالبات کو زیادہ آسانی سے اور تیزی سے ادا کرنے پر مجبور کر سکتی ہے۔" Cerberus Sentinel، Threatpost کو ایک ای میل میں۔

چونکہ سائبر جرائم پیشہ افراد یہ جانتے ہیں، اس لیے ایف بی آئی، سی آئی ایس اے اور ٹریژری نے کہا کہ یہ شعبہ شمالی کوریا کے ریاستی سرپرستی والے اداکاروں سے حملوں کی توقع جاری رکھ سکتا ہے۔

کلیمینٹس نے مشاہدہ کیا کہ صحت کی دیکھ بھال کی معلومات اپنی حساس اور نجی نوعیت کی وجہ سے خطرے والے اداکاروں کے لیے بھی انتہائی قیمتی ہیں، جو سائبر جرائم کے بازاروں پر دوبارہ فروخت کرنا آسان بنانے کے ساتھ ساتھ "انتہائی موزوں ثانوی سماجی انجینئرنگ حملہ مہمات" کی تعمیر کے لیے مفید ہے۔

حملے کا سلسلہ

Stairwell رپورٹ کا حوالہ دیتے ہوئے، وفاقی ایجنسیوں نے اس بات کا بریک ڈاؤن فراہم کیا کہ کس طرح Maui ransomware کا حملہ—ایک انکرپشن بائنری کے طور پر انسٹال کیا گیا جسے "maui.exe" کہا جاتا ہے—کسی تنظیم کے سسٹم پر مخصوص فائلوں کو انکرپٹ کرتا ہے۔

کمانڈ لائن انٹرفیس کا استعمال کرتے ہوئے، دھمکی دینے والے اداکار رینسم ویئر کے ساتھ تعامل کرتے ہیں تاکہ یہ معلوم کیا جا سکے کہ کون سی فائلوں کو انکرپٹ کرنا ہے، ایڈوانسڈ انکرپشن سٹینڈرڈ (AES)، RSA اور XOR انکرپشن کے امتزاج کا استعمال کرتے ہوئے۔

پہلا Maui AES 128-bit انکرپشن کے ساتھ ٹارگٹ فائلوں کو خفیہ کرتا ہے، ہر فائل کو ایک منفرد AES کلید تفویض کرتا ہے۔ ہر فائل میں شامل ایک حسب ضرورت ہیڈر جس میں فائل کا اصل راستہ شامل ہوتا ہے Maui کو پہلے سے خفیہ کردہ فائلوں کی شناخت کرنے کی اجازت دیتا ہے۔ محققین نے کہا کہ ہیڈر میں AES کلید کی خفیہ کردہ کاپیاں بھی شامل ہیں۔

Maui ہر AES کلید کو RSA انکرپشن کے ساتھ انکرپٹ کرتا ہے اور RSA پبلک (maui.key) اور پرائیویٹ (maui.evd) کیز کو اسی ڈائرکٹری میں خود لوڈ کرتا ہے۔ پھر یہ RSA پبلک کلی (maui.key) کو XOR انکرپشن کا استعمال کرتے ہوئے ایک XOR کلید کے ساتھ انکوڈ کرتا ہے جو ہارڈ ڈرائیو کی معلومات سے تیار ہوتی ہے۔

محققین نے کہا کہ خفیہ کاری کے دوران، Maui ہر فائل کے لیے ایک عارضی فائل بناتا ہے جو اسے GetTempFileNameW() کا استعمال کرتے ہوئے انکرپٹ کرتا ہے، اور اس فائل کو انکرپشن سے آؤٹ پٹ اسٹیج کرنے کے لیے استعمال کرتا ہے۔ فائلوں کو انکرپٹ کرنے کے بعد، Maui maui.log بناتا ہے، جس میں Maui ایگزیکیوشن سے آؤٹ پٹ ہوتا ہے اور ممکنہ طور پر دھمکی دینے والے اداکاروں کے ذریعے خارج کیے جاتے ہیں اور متعلقہ ڈکرپشن ٹولز کا استعمال کرتے ہوئے ڈکرپٹ کیے جاتے ہیں۔

پیر 11 جولائی کو اس لائیو ایونٹ کے لیے ابھی رجسٹر ہوں۔: Threatpost اور Intel Security کے Tom Garrison کے ساتھ جدت طرازی کے بارے میں لائیو گفتگو میں شامل ہوں جو اسٹیک ہولڈرز کو متحرک خطرے کے منظر سے آگے رہنے کے قابل بناتا ہے اور Intel Security نے Ponemon Institue کے ساتھ شراکت میں اپنے تازہ ترین مطالعہ سے کیا سیکھا۔ تقریب کے شرکاء کی حوصلہ افزائی کی جاتی ہے۔ رپورٹ کا جائزہ لیں اور براہ راست بحث کے دوران سوالات پوچھیں۔ مزید معلومات حاصل کریں اور یہاں رجسٹر ہوں.

ٹائم اسٹیمپ:

سے زیادہ حکومت