Các tổ chức chăm sóc sức khỏe của Hoa Kỳ được nhắm mục tiêu với Maui Ransomware

Theo các nhà chức trách liên bang Hoa Kỳ, một số cơ quan liên bang đang cảnh báo các tổ chức chăm sóc sức khỏe rằng họ đang bị đe dọa tấn công từ các tổ chức do nhà nước Triều Tiên tài trợ, sử dụng một phần mềm ransomware duy nhất nhắm mục tiêu vào các tệp có độ chính xác phẫu thuật.

Theo một cố vấn chung do Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Bộ Ngân khố (Kho bạc) cấp hôm thứ Tư.

Các tổ chức nên đề phòng các dấu hiệu của sự thỏa hiệp và thực hiện các biện pháp giảm nhẹ chống lại các cuộc tấn công như vậy, cả hai đều được đưa vào tư vấn liên bang.

Hơn nữa, nếu các tổ chức nhận thấy mình là nạn nhân của cuộc tấn công, thì các cơ quan này khuyến cáo họ không nên trả bất kỳ khoản tiền chuộc nào được yêu cầu, "vì làm như vậy không đảm bảo các tệp và hồ sơ sẽ được khôi phục và có thể gây ra rủi ro trừng phạt", họ viết trong lời khuyên.

Ransomware độc ​​đáo

Maui – đã hoạt động ít nhất từ ​​tháng 2021 năm XNUMX, theo báo cáo trên ransomware của công ty an ninh mạng Stairwell– có một số đặc điểm độc đáo giúp nó khác biệt với các mối đe dọa ransomware-as-a-service (RaaS) khác hiện đang diễn ra.

“Maui nổi bật với chúng tôi vì thiếu một số tính năng chính mà chúng tôi thường thấy với các công cụ từ các nhà cung cấp RaaS,” Silas Cutler, kỹ sư đảo ngược chính tại Stairwell, viết trong báo cáo.

Những điều này bao gồm việc thiếu thông báo đòi tiền chuộc để cung cấp hướng dẫn khôi phục hoặc các phương tiện tự động truyền khóa mã hóa cho những kẻ tấn công, ông viết.

Một chuyên gia bảo mật đã quan sát thấy đặc điểm trước đây làm tăng thêm phẩm chất đặc biệt nham hiểm cho các cuộc tấn công Maui.

James McQuiggan, người ủng hộ nhận thức về bảo mật tại công ty bảo mật nhận xét: “Tội phạm mạng muốn được trả tiền nhanh chóng và hiệu quả, và với ít thông tin cho nạn nhân, cuộc tấn công ngày càng có tính chất độc hại. BiếtBe4, trong một e-mail tới Threatpost.

Độ chính xác phẫu thuật

Một đặc điểm khác của Maui khác với các ransomware khác là nó dường như được thiết kế để thực thi thủ công bởi tác nhân đe dọa, cho phép các nhà điều hành của nó “chỉ định tệp nào sẽ mã hóa khi thực thi nó và sau đó tách lọc các tạo tác thời gian chạy kết quả”, Cutler viết.

Việc thực thi thủ công này đang là xu hướng ngày càng gia tăng giữa các nhà khai thác phần mềm độc hại tiên tiến, vì nó cho phép những kẻ tấn công chỉ nhắm mục tiêu vào các tài sản quan trọng nhất trên mạng, một chuyên gia bảo mật lưu ý.

John Bambenek, thợ săn mối đe dọa chính tại netenrich, một công ty phân tích hoạt động và bảo mật SaaS, trong một email gửi đến Threatpost. “Các công cụ tự động chỉ đơn giản là không thể xác định tất cả các khía cạnh duy nhất của mỗi tổ chức để có thể gỡ xuống hoàn toàn”.

Tim McGuffin, giám đốc đối thủ Eegineering tại công ty tư vấn bảo mật thông tin, lưu ý rằng việc tách ra các tệp cụ thể để mã hóa cũng cho phép kẻ tấn công kiểm soát nhiều hơn đối với một cuộc tấn công đồng thời khiến nạn nhân phải chịu thuế ít hơn một chút. Tư vấn LARES.

Ông nói: “Bằng cách nhắm mục tiêu vào các tệp cụ thể, những kẻ tấn công có thể chọn những gì nhạy cảm và những gì cần lọc theo kiểu chiến thuật hơn nhiều so với một ransomware 'phun và cầu nguyện'. "Điều này có thể cho thấy 'thiện chí' từ nhóm ransomware bằng cách cho phép nhắm mục tiêu và khôi phục chỉ các tệp nhạy cảm và không phải xây dựng lại toàn bộ máy chủ nếu [ví dụ] các tệp hệ điều hành cũng được mã hóa."

Chăm sóc sức khỏe dưới hỏa hoạn

Ngành công nghiệp chăm sóc sức khỏe đã là mục tiêu của các cuộc tấn công gia tăng, đặc biệt là trong hai năm rưỡi qua trong đại dịch COVID-19. Thật vậy, có một số lý do khiến lĩnh vực này tiếp tục là mục tiêu hấp dẫn đối với các tác nhân đe dọa, các chuyên gia cho biết.

Một là vì đây là một ngành sinh lợi về mặt tài chính cũng có xu hướng có các hệ thống CNTT lỗi thời mà không có bảo mật phức tạp. Điều này làm cho các tổ chức chăm sóc sức khỏe trở nên thấp thỏm đối với tội phạm mạng, một chuyên gia bảo mật lưu ý.

“Chăm sóc sức khỏe là luôn được nhắm mục tiêu do ngân sách hoạt động hàng triệu đô la của họ và các hướng dẫn của Liên bang Hoa Kỳ gây khó khăn cho việc cập nhật hệ thống một cách nhanh chóng, ”McQuiggan của KnowBe4 nhận xét.

Hơn nữa, các cuộc tấn công vào các cơ quan chăm sóc sức khỏe có thể khiến sức khỏe và thậm chí tính mạng của người dân gặp nguy hiểm, điều này có thể khiến các tổ chức trong lĩnh vực này có nhiều khả năng trả tiền chuộc cho bọn tội phạm ngay lập tức, các chuyên gia nhận xét.

Chris Clements, Phó chủ tịch phụ trách kiến ​​trúc giải pháp tại công ty an ninh mạng cho biết: “Nhu cầu khôi phục hoạt động càng nhanh càng tốt có thể thúc đẩy các tổ chức chăm sóc sức khỏe thanh toán nhanh chóng và dễ dàng hơn cho bất kỳ nhu cầu tống tiền nào bắt nguồn từ ransomware”. Lính canh Cerberus, trong một email tới Threatpost.

Bởi vì tội phạm mạng biết điều này, FBI, CISA và Kho bạc cho biết khu vực này có thể tiếp tục mong đợi các cuộc tấn công từ các tổ chức được nhà nước bảo trợ của Triều Tiên.

Thông tin chăm sóc sức khỏe cũng có giá trị cao đối với các tác nhân đe dọa do tính chất nhạy cảm và riêng tư, dễ bán lại trên các thị trường tội phạm mạng cũng như hữu ích để xây dựng “các chiến dịch tấn công kỹ thuật xã hội thứ cấp được thiết kế phù hợp nhất”, Clements nhận xét.

Trình tự tấn công

Trích dẫn báo cáo của Stairwell, các cơ quan liên bang đã cung cấp thông tin phân tích về cách thức tấn công bởi Maui ransomware — được cài đặt dưới dạng một tệp nhị phân mã hóa có tên “maui.exe” – mã hóa các tệp cụ thể trên hệ thống của tổ chức.

Sử dụng giao diện dòng lệnh, các tác nhân đe dọa tương tác với ransomware để xác định tệp nào cần mã hóa, sử dụng kết hợp Tiêu chuẩn mã hóa nâng cao (AES), mã hóa RSA và XOR.

First Maui mã hóa các tệp đích bằng mã hóa AES 128-bit, gán cho mỗi tệp một khóa AES duy nhất. Một tiêu đề tùy chỉnh có trong mỗi tệp bao gồm đường dẫn gốc của tệp cho phép Maui xác định các tệp đã được mã hóa trước đó. Các nhà nghiên cứu cho biết tiêu đề cũng chứa các bản sao mã hóa của khóa AES.

Maui mã hóa từng khóa AES bằng mã hóa RSA và tải các khóa RSA công khai (maui.key) và khóa riêng tư (maui.evd) trong cùng một thư mục với chính nó. Sau đó, nó mã hóa khóa công khai RSA (maui.key) bằng cách sử dụng mã hóa XOR với khóa XOR được tạo từ thông tin ổ cứng.

Trong quá trình mã hóa, Maui tạo một tệp tạm thời cho mỗi tệp mà nó mã hóa bằng cách sử dụng GetTempFileNameW () và sử dụng tệp này để chuyển đầu ra từ mã hóa, các nhà nghiên cứu cho biết. Sau khi mã hóa các tệp, Maui tạo maui.log, chứa đầu ra từ việc thực thi Maui và có khả năng bị các tác nhân đe dọa lấy ra và được giải mã bằng các công cụ giải mã liên quan.

Đăng ký ngay cho SỰ KIỆN TRỰC TIẾP này vào THỨ 11 NGÀY XNUMX/XNUMX: Tham gia Threatpost và Tom Garrison của Intel Security trong một cuộc trò chuyện trực tiếp về sự đổi mới cho phép các bên liên quan đón đầu bối cảnh mối đe dọa năng động và những gì Intel Security học được từ nghiên cứu mới nhất của họ khi hợp tác với Ponemon Institue. Những người tham dự sự kiện được khuyến khích xem trước báo cáo và đặt câu hỏi trong cuộc thảo luận trực tiếp. Tìm hiểu thêm và đăng ký tại đây.