以毛伊岛勒索软件为目标的美国医疗保健组织

时间戳:8年2022月6日上午46:XNUMX
源节点: 1574589

国家资助的攻击者正在持续的攻击中部署这种独特的恶意软件,该恶意软件以特定文件为目标,并且不会留下任何勒索软件记录。

据美国联邦当局称,一些联邦机构警告医疗保健组织,他们正面临朝鲜国家支持的攻击者的攻击威胁,这些攻击者使用一种独特的勒索软件,以外科手术般的精度瞄准文件。

据报道,至少自 2021 年 XNUMX 月以来,来自朝鲜的威胁行为者一直在使用毛伊岛勒索软件来针对医疗保健和公共卫生领域的组织 联合咨询 联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 以及财政部 (Treasury) 于周三发布。

组织应留意妥协迹象并采取缓解措施来应对此类攻击,这两者都包含在联邦咨询中。

信息安全内部人士通讯

此外,如果组织确实发现自己成为攻击的受害者,这些机构建议他们不要支付任何要求的赎金,“因为这样做并不能保证文件和记录能够被恢复,并且可能会带来制裁风险,”他们在咨询中写道。

独特的勒索软件

据报道,毛伊岛至少自 2021 年 XNUMX 月起就一直活跃 报告 网络安全公司 Stairwell 的勒索软件具有一些独特的特征,使其与当前正在发挥作用的其他勒索软件即服务 (RaaS) 威胁区分开来。

Stairwell 首席逆向工程师 Silas Cutler 在报告中写道:“Maui 对我们来说之所以脱颖而出,是因为它缺乏 RaaS 提供商工具中常见的几个关键功能。”

他写道,其中包括缺乏提供恢复指令的赎金票据或缺乏向攻击者传输加密密钥的自动方法。

一位安全专业人士表示,前一个特征给毛伊岛的攻击增添了一种特别险恶的品质。

安全公司安全意识倡导者詹姆斯·麦克奎根 (James McQuiggan) 表示:“网络犯罪分子希望快速有效地获得报酬,而受害者的信息很少,因此攻击的恶意性越来越大。” KnowBe4,在给 Threatpost 的电子邮件中。

手术精度

卡特勒写道,毛伊岛与其他勒索软件不同的另一个特点是,它似乎是为威胁行为者手动执行而设计的,允许其操作员“指定在执行时加密哪些文件,然后泄露生成的运行时工件”。

一位安全专业人士指出,这种手动执行是高级恶意软件操作者中日益增长的趋势,因为它允许攻击者仅针对网络上最重要的资产。

“对于真正对组织造成严重破坏的勒索软件攻击,威胁行为者需要手动识别重要资产和弱点,才能真正击倒受害者。” 网易,一家安全和运营分析 SaaS 公司,在给 Threatpost 的电子邮件中。 “自动化工具根本无法识别每个组织的所有独特方面,从而实现彻底的打击。”

信息安全咨询公司对抗工程总监 Tim McGuffin 指出,挑选出特定文件进行加密还可以让攻击者更好地控制攻击,同时也可以稍微减轻受害者清理后的负担。 LARES咨询.

他说:“与‘喷雾和祈祷’勒索软件相比,通过针对特定文件,攻击者可以以更具战术性的方式选择敏感内容和泄露内容。” “这可以显示勒索软件组织的‘善意’,因为它允许仅定位和恢复敏感文件,而不必重建整个服务器(如果[例如]操作系统文件也被加密)。”

医疗保健受到抨击

医疗保健行业一直是 增加攻击的目标,特别是在过去的两年半里 在COVID-19大流行期间。专家表示,事实上,该行业继续成为威胁行为者的有吸引力的目标有很多原因。

其一是因为这是一个经济利润丰厚的行业,但 IT 系统往往过时且缺乏复杂的安全性。一位安全专业人士指出,这使得医疗机构成为网络犯罪分子唾手可得的目标。

“医疗保健是 始终有针对性 由于其数百万美元的运营预算和美国联邦指导方针,使得快速更新系统变得困难,”KnowBe4 的 McQuiggan 观察到。

此外,专家指出,对医疗机构的攻击可能会使人们的健康甚至生命面临风险,这可能会使该行业的组织更有可能立即向犯罪分子支付赎金。

网络安全公司解决方案架构副总裁克里斯·克莱门茨 (Chris Clements) 表示:“尽快恢复运营的需要可以促使医疗机构更轻松、更迅速地支付勒索软件带来的任何勒索要求。” Cerberus前哨,在给 Threatpost 的电子邮件中。

由于网络犯罪分子知道这一点,FBI、CISA 和财政部表示,该行业可能会继续遭受朝鲜国家支持的攻击者的攻击。

克莱门茨指出,由于其敏感和私密的性质,医疗保健信息对于威胁行为者来说也非常有价值,可以很容易地在网络犯罪市场上转售,并且有助于构建“高度定制的二次社会工程攻击活动”。

攻击顺序

联邦机构援引 Stairwell 报告,详细介绍了 Maui 勒索软件(作为名为“maui.exe”的加密二进制文件安装)的攻击如何加密组织系统上的特定文件。

威胁行为者使用命令行界面与勒索软件交互,以识别要加密的文件,并使用高级加密标准 (AES)、RSA 和 XOR 加密的组合。

首先,Maui 使用 AES 128 位加密对目标文件进行加密,为每个文件分配一个唯一的 AES 密钥。每个文件中包含的自定义标头(包括文件的原始路径)允许 Maui 识别以前加密的文件。研究人员表示,标头还包含 AES 密钥的加密副本。

Maui 使用 RSA 加密对每个 AES 密钥进行加密,并将 RSA 公共 (maui.key) 和私有 (maui.evd) 密钥加载到与其自身相同的目录中。然后,它使用 XOR 加密和从硬盘驱动器信息生成的 XOR 密钥对 RSA 公钥 (maui.key) 进行编码。

研究人员表示,在加密过程中,毛伊岛使用 GetTempFileNameW() 为其加密的每个文件创建一个临时文件,并使用该文件暂存加密的输出。加密文件后,Maui 会创建 maui.log,其中包含 Maui 执行的输出,很可能被威胁行为者窃取并使用相关解密工具进行解密。

立即注册参加 11 月 XNUMX 日星期一的现场活动: 加入 Threatpost 和 Intel Security 的 Tom Garrison 的现场对话,讨论创新使利益相关者能够在动态威胁环境中保持领先,以及 Intel Security 从他们与 Ponemon Institue 合作的最新研究中学到了什么。 鼓励活动参与者 预览报告 并在现场讨论中提问。 了解更多信息并在此注册.

时间戳记:

更多来自 政府