تقوم الجهات الفاعلة التي ترعاها الدولة بنشر البرامج الضارة الفريدة - التي تستهدف ملفات معينة ولا تترك أي ملاحظة عن برامج الفدية - في الهجمات المستمرة.
تحذر العديد من الوكالات الفيدرالية منظمات الرعاية الصحية من أنها تتعرض لخطر الهجمات من الجهات الفاعلة التي ترعاها الدولة في كوريا الشمالية والتي تستخدم برنامج فدية فريدًا يستهدف الملفات بدقة جراحية ، وفقًا للسلطات الفيدرالية الأمريكية.
يستخدم ممثلو التهديد من كوريا الشمالية Maui ransomware منذ مايو 2021 على الأقل لاستهداف المنظمات في قطاع الرعاية الصحية والصحة العامة ، وفقًا لـ استشاري مشترك صدر الأربعاء عن مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووزارة الخزانة (الخزانة).
يجب أن تكون المنظمات على اطلاع على مؤشرات التسوية وأن تتخذ إجراءات تخفيفية ضد مثل هذه الهجمات ، وكلاهما مدرج في الاستشارات الفيدرالية.
علاوة على ذلك ، إذا وجدت المنظمات نفسها ضحية للهجوم ، فإن الوكالات توصي بالامتناع عن دفع أي فدية مطلوبة ، "لأن القيام بذلك لا يضمن استرداد الملفات والسجلات وقد يشكل مخاطر عقوبات" ، كما كتبوا في الاستشارة.
فيروسات الفدية الفريدة
ماوي - التي نشطت منذ أبريل 2021 على الأقل ، وفقًا لـ تقرير على برنامج الفدية من شركة Stairwell للأمن السيبراني - لديه بعض الخصائص الفريدة التي تميزه عن تهديدات برامج الفدية كخدمة (RaaS) الأخرى قيد التشغيل حاليًا.
كتب سيلاس كاتلر ، المهندس العكسي الرئيسي في Stairwell ، في التقرير: "برزت Maui أمامنا بسبب الافتقار إلى العديد من الميزات الرئيسية التي نراها عادةً مع الأدوات من موفري RaaS".
وكتب أن هذه تشمل عدم وجود مذكرة فدية لتقديم تعليمات الاسترداد أو الوسائل الآلية لإرسال مفاتيح التشفير إلى المهاجمين.
تضيف الخاصية السابقة خاصية شريرة بشكل خاص إلى هجمات ماوي ، كما لاحظ أحد المتخصصين الأمنيين.
لاحظ جيمس ماكويغان ، محامي التوعية الأمنية في شركة أمنية: "يرغب مجرمو الإنترنت في الحصول على رواتبهم بسرعة وفعالية ، ومع قلة المعلومات عن الضحية ، يكون الهجوم خبيثًا بشكل متزايد بطبيعته". KnowBe4، في رسالة بريد إلكتروني إلى Threatpost.
الدقة الجراحية
من الخصائص الأخرى لماوي التي تختلف عن برمجيات الفدية الأخرى أنه يبدو أنها مصممة للتنفيذ اليدوي من قبل أحد الفاعلين المهددين ، مما يسمح لمشغليها بـ "تحديد الملفات التي سيتم تشفيرها عند تنفيذها ثم إخراج عناصر وقت التشغيل الناتجة" ، كما كتب كاتلر.
هذا التنفيذ اليدوي هو اتجاه يتزايد بين مشغلي البرامج الضارة المتقدمين ، لأنه يسمح للمهاجمين باستهداف الأصول الأكثر أهمية فقط على الشبكة ، كما أشار أحد المتخصصين في مجال الأمان.
لاحظ جون بامبنيك ، صائد التهديدات الرئيسي في نيتينريش، وهي شركة SaaS للأمان وتحليلات العمليات ، في رسالة بريد إلكتروني إلى Threatpost. "لا تستطيع الأدوات التلقائية ببساطة تحديد جميع الجوانب الفريدة لكل مؤسسة لتمكين الإزالة الكاملة".
وأشار تيم ماكجوفين ، مدير Eegineering الخصومة في شركة استشارات أمن المعلومات ، إلى أن تخصيص ملفات معينة للتشفير يمنح المهاجمين مزيدًا من التحكم في الهجوم بينما يجعله أيضًا أقل ضرائب على الضحية لتنظيفه بعده. لاريس للاستشارات.
وقال: "من خلال استهداف ملفات معينة ، يتمكن المهاجمون من اختيار ما هو حساس وما يجب التسلل إليه بطريقة تكتيكية أكثر بكثير مقارنة ببرنامج الفدية" بالرش والصلاة ". "يمكن أن يُظهر هذا" حسن النية "من مجموعة برامج الفدية من خلال السماح باستهداف واستعادة الملفات الحساسة فقط وعدم الاضطرار إلى إعادة بناء الخادم بالكامل إذا [على سبيل المثال] تم تشفير ملفات نظام التشغيل أيضًا."
الرعاية الصحية تحت النار
كانت صناعة الرعاية الصحية هي هدف الهجمات المتزايدة، لا سيما خلال العامين ونصف العام الماضيين خلال جائحة COVID-19. في الواقع ، هناك عدد من الأسباب التي تجعل هذا القطاع لا يزال هدفًا جذابًا للجهات الفاعلة في مجال التهديد ، كما قال الخبراء.
السبب الأول هو أنها صناعة مربحة مالياً تميل أيضًا إلى امتلاك أنظمة تكنولوجيا معلومات قديمة بدون أمان متطور. هذا يجعل مؤسسات الرعاية الصحية ثمارها منخفضة بالنسبة لمجرمي الإنترنت ، كما أشار أحد المتخصصين في مجال الأمن.
"الرعاية الصحية دائما مستهدفة نظرًا لميزانيتها التشغيلية التي تبلغ عدة ملايين من الدولارات والمبادئ التوجيهية الفيدرالية الأمريكية التي تجعل من الصعب تحديث الأنظمة بسرعة ، "لاحظ ماكويغان من KnowBe4.
علاوة على ذلك ، فإن الهجمات على وكالات الرعاية الصحية يمكن أن تعرض صحة الناس وحتى حياتهم للخطر ، مما قد يجعل المنظمات في القطاع أكثر عرضة لدفع فدية للمجرمين على الفور ، كما لاحظ الخبراء.
أشار كريس كليمنتس ، نائب رئيس هندسة الحلول في شركة الأمن السيبراني ، إلى أن "الحاجة إلى استعادة العمليات في أسرع وقت ممكن يمكن أن تدفع مؤسسات الرعاية الصحية إلى دفع أي طلبات ابتزاز ناجمة عن برامج الفدية بسهولة وسرعة أكبر". سيربيروس سنتينل، في رسالة بريد إلكتروني إلى Threatpost.
لأن مجرمي الإنترنت يعرفون ذلك ، قال مكتب التحقيقات الفيدرالي و CISA ووزارة الخزانة إن القطاع يمكن أن يستمر في توقع هجمات من الجهات الفاعلة التي ترعاها الدولة في كوريا الشمالية.
تعتبر معلومات الرعاية الصحية أيضًا ذات قيمة عالية للجهات الفاعلة في مجال التهديد نظرًا لطبيعتها الحساسة والخاصة ، مما يسهل إعادة بيعها في أسواق مجرمي الإنترنت بالإضافة إلى كونها مفيدة لإنشاء "حملات هجوم ثانوية مصممة بشكل كبير للهندسة الاجتماعية" ، كما لاحظ كليمنتس.
تسلسل الهجوم
نقلاً عن تقرير Stairwell ، قدمت الوكالات الفيدرالية تفصيلاً لكيفية قيام هجوم من Maui ransomware - تم تثبيته كثنائي تشفير يسمى "maui.exe" - بتشفير ملفات معينة على نظام المؤسسة.
باستخدام واجهة سطر الأوامر ، يتفاعل ممثلو التهديد مع برامج الفدية لتحديد الملفات المطلوب تشفيرها ، باستخدام مجموعة من معايير التشفير المتقدمة (AES) و RSA و XOR.
تقوم Maui أولاً بتشفير الملفات الهدف بتشفير AES 128 بت ، مع تخصيص مفتاح AES فريد لكل ملف. يسمح رأس مخصص موجود في كل ملف يتضمن المسار الأصلي للملف لـ Maui بتحديد الملفات المشفرة مسبقًا. قال الباحثون إن العنوان يحتوي أيضًا على نسخ مشفرة من مفتاح AES.
تقوم Maui بتشفير كل مفتاح AES بتشفير RSA وتحميل مفاتيح RSA العامة (maui.key) والمفاتيح الخاصة (maui.evd) في نفس الدليل مثلها. ثم يقوم بترميز المفتاح العام RSA (maui.key) باستخدام تشفير XOR مع مفتاح XOR الذي يتم إنشاؤه من معلومات محرك الأقراص الثابتة.
قال باحثون إن Maui ، أثناء التشفير ، تنشئ ملفًا مؤقتًا لكل ملف تقوم بتشفيره باستخدام GetTempFileNameW () ، وتستخدم هذا الملف لترتيب الإخراج من التشفير. بعد تشفير الملفات ، تقوم Maui بإنشاء maui.log ، والذي يحتوي على مخرجات من تنفيذ Maui ومن المحتمل أن يتم اختراقها من قبل الجهات المهددة وفك تشفيرها باستخدام أدوات فك التشفير ذات الصلة.
سجل الآن في هذا الحدث المباشر يوم الاثنين 11 يوليو: انضم إلى Threatpost و Tom Garrison من Intel Security في محادثة مباشرة حول الابتكار لتمكين أصحاب المصلحة من البقاء في صدارة مشهد التهديد الديناميكي وما تعلمته Intel Security من دراستهم الأخيرة بالشراكة مع Ponemon Institue. يتم تشجيع الحاضرين على الحدث معاينة التقرير وطرح الأسئلة أثناء المناقشة الحية. استعلم اكثر وسجل هنا.
