Staatlich geförderte Akteure setzen die einzigartige Malware – die auf bestimmte Dateien abzielt und keine Ransomware-Notiz hinterlässt – in laufenden Angriffen ein.
Laut US-Bundesbehörden warnen mehrere Bundesbehörden Gesundheitsorganisationen, dass ihnen Angriffe von staatlich geförderten nordkoreanischen Akteuren drohen, die eine einzigartige Ransomware einsetzen, die mit chirurgischer Präzision auf Dateien abzielt.
Bedrohungsakteure aus Nordkorea verwenden demnach seit mindestens Mai 2021 Maui-Ransomware, um Organisationen im Gesundheitswesen und im öffentlichen Gesundheitswesen anzugreifen eine gemeinsame Beratung herausgegeben am Mittwoch vom Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA) und dem Department of the Treasury (Treasury).
Organisationen sollten nach Indikatoren für Kompromittierungen Ausschau halten und Gegenmaßnahmen gegen solche Angriffe ergreifen, die beide in der Bundesberatung enthalten sind.
Wenn Organisationen Opfer eines Angriffs werden, empfehlen die Agenturen außerdem, von der Zahlung eines geforderten Lösegelds abzusehen, „da dies keine Garantie für die Wiederherstellung von Dateien und Aufzeichnungen ist und Sanktionsrisiken bergen kann“, schrieben sie in der Empfehlung.
Einzigartige Ransomware
Maui – das laut Angaben seit mindestens April 2021 aktiv ist ein Bericht auf der Ransomware des Cybersicherheitsunternehmens Stairwell – hat einige einzigartige Eigenschaften, die es von anderen Ransomware-as-a-Service (RaaS)-Bedrohungen unterscheidet, die derzeit im Spiel sind.
„Maui stach für uns heraus, weil ihm mehrere Schlüsselfunktionen fehlten, die wir häufig bei Tools von RaaS-Anbietern sehen“, schrieb Silas Cutler, Principal Reverse Engineer bei Stairwell, in dem Bericht.
Dazu gehört das Fehlen einer Lösegeldforderung, um Wiederherstellungsanweisungen oder automatisierte Mittel zur Übermittlung von Verschlüsselungsschlüsseln an Angreifer bereitzustellen, schrieb er.
Die erstgenannte Eigenschaft verleiht Maui-Angriffen eine besonders finstere Qualität, beobachtete ein Sicherheitsexperte.
„Cyberkriminelle wollen schnell und effektiv bezahlt werden, und mit wenigen Informationen für das Opfer wird der Angriff immer bösartiger“, beobachtet James McQuiggan, Verfechter des Sicherheitsbewusstseins bei einer Sicherheitsfirma KnowBe4, in einer E-Mail an Threatpost.
Chirurgische Präzision
Ein weiteres Merkmal von Maui, das sich von anderer Ransomware unterscheidet, besteht darin, dass es anscheinend für die manuelle Ausführung durch einen Angreifer entwickelt wurde, sodass seine Betreiber „angeben können, welche Dateien bei der Ausführung verschlüsselt werden sollen, und dann die resultierenden Laufzeitartefakte exfiltrieren“, schrieb Cutler.
Diese manuelle Ausführung ist ein Trend, der bei fortgeschrittenen Malware-Betreibern zunimmt, da Angreifer nur die wichtigsten Assets in einem Netzwerk angreifen können, stellte ein Sicherheitsexperte fest.
„Für wirklich organisatorisch lähmende Ransomware-Angriffe müssen Bedrohungsakteure die wichtigen Ressourcen und die Schwachstellen manuell identifizieren, um ein Opfer wirklich auszuschalten“, bemerkte John Bambenek, Principal Threat Hunter bei Netenrich, ein SaaS-Unternehmen für Sicherheits- und Betriebsanalysen, in einer E-Mail an Threatpost. „Automatisierte Tools können einfach nicht alle einzigartigen Aspekte jeder Organisation identifizieren, um eine vollständige Deaktivierung zu ermöglichen.“
Das Herausgreifen bestimmter Dateien zum Verschlüsseln gibt Angreifern auch mehr Kontrolle über einen Angriff und macht es für ein Opfer etwas weniger anstrengend, danach aufzuräumen, bemerkte Tim McGuffin, Director of Adversarial Eegineering bei einem Beratungsunternehmen für Informationssicherheit LARES Beratung.
„Indem sie auf bestimmte Dateien abzielen, können die Angreifer im Vergleich zu einer „Spray-and-Pray“-Ransomware auf viel taktischere Weise auswählen, was sensibel ist und was exfiltriert werden soll“, sagte er. „Dies kann den ‚guten Glauben‘ der Ransomware-Gruppe zeigen, indem es das Targeting und die Wiederherstellung nur sensibler Dateien ermöglicht und nicht den gesamten Server neu erstellen muss, wenn [zum Beispiel] auch die Betriebssystemdateien verschlüsselt sind.“
Gesundheitswesen unter Beschuss
Die Gesundheitsbranche war die Ziel vermehrter Angriffe, insbesondere in den letzten zweieinhalb Jahren während der COVID-19-Pandemie. Laut Experten gibt es in der Tat eine Reihe von Gründen, warum der Sektor weiterhin ein attraktives Ziel für Bedrohungsakteure ist.
Zum einen, weil es sich um eine finanziell lukrative Branche handelt, die auch dazu neigt, über veraltete IT-Systeme ohne ausgefeilte Sicherheit zu verfügen. Dies macht Organisationen im Gesundheitswesen zu niedrig hängenden Früchten für Cyberkriminelle, bemerkte ein Sicherheitsexperte.
„Das Gesundheitswesen ist immer gezielt aufgrund ihres Betriebsbudgets in Höhe von mehreren Millionen Dollar und der US-Bundesrichtlinien, die es schwierig machen, Systeme schnell zu aktualisieren“, bemerkte McQuiggan von KnowBe4.
Darüber hinaus können Angriffe auf Gesundheitsbehörden die Gesundheit und sogar das Leben von Menschen gefährden, was die Wahrscheinlichkeit erhöhen könnte, dass Organisationen in diesem Sektor sofort Lösegeld an Kriminelle zahlen, beobachteten Experten.
„Die Notwendigkeit, den Betrieb so schnell wie möglich wiederherzustellen, kann Gesundheitsorganisationen dazu veranlassen, alle Erpressungsforderungen aufgrund von Ransomware bereitwilliger und schneller zu bezahlen“, bemerkte Chris Clements, Vizepräsident für Lösungsarchitektur bei einem Unternehmen für Cybersicherheit Cerberus-Wächter, in einer E-Mail an Threatpost.
Da Cyberkriminelle dies wissen, sagten das FBI, die CISA und das Finanzministerium, dass der Sektor weiterhin mit Angriffen von staatlich geförderten nordkoreanischen Akteuren rechnen kann.
Gesundheitsinformationen sind aufgrund ihrer sensiblen und privaten Natur auch für Bedrohungsakteure äußerst wertvoll, was den Weiterverkauf auf cyberkriminellen Marktplätzen erleichtert und nützlich ist, um „hochgradig maßgeschneiderte sekundäre Social-Engineering-Angriffskampagnen“ zu konstruieren, bemerkte Clements.
Angriffsfolge
Unter Berufung auf den Stairwell-Bericht stellten Bundesbehörden eine Aufschlüsselung bereit, wie ein Angriff durch Maui-Ransomware – installiert als Verschlüsselungs-Binärdatei namens „maui.exe“ – bestimmte Dateien auf dem System einer Organisation verschlüsselt.
Über eine Befehlszeilenschnittstelle interagieren Bedrohungsakteure mit der Ransomware, um mithilfe einer Kombination aus Advanced Encryption Standard (AES), RSA- und XOR-Verschlüsselung zu identifizieren, welche Dateien verschlüsselt werden sollen.
Zuerst verschlüsselt Maui Zieldateien mit AES 128-Bit-Verschlüsselung und weist jeder Datei einen eindeutigen AES-Schlüssel zu. Ein benutzerdefinierter Header, der in jeder Datei enthalten ist und den ursprünglichen Pfad der Datei enthält, ermöglicht es Maui, zuvor verschlüsselte Dateien zu identifizieren. Der Header enthält auch verschlüsselte Kopien des AES-Schlüssels, sagten die Forscher.
Maui verschlüsselt jeden AES-Schlüssel mit RSA-Verschlüsselung und lädt die öffentlichen (maui.key) und privaten (maui.evd) RSA-Schlüssel in dasselbe Verzeichnis wie es selbst. Anschließend codiert es den öffentlichen RSA-Schlüssel (maui.key) mithilfe von XOR-Verschlüsselung mit einem XOR-Schlüssel, der aus Festplatteninformationen generiert wird.
Während der Verschlüsselung erstellt Maui eine temporäre Datei für jede Datei, die es mit GetTempFileNameW() verschlüsselt, und verwendet diese Datei, um die Ausgabe der Verschlüsselung zu inszenieren, sagten die Forscher. Nach dem Verschlüsseln von Dateien erstellt Maui maui.log, das die Ausgabe der Maui-Ausführung enthält und wahrscheinlich von Angreifern exfiltriert und mit zugehörigen Entschlüsselungstools entschlüsselt wird.
Melden Sie sich jetzt für dieses LIVE-EVENT am MONTAG, DEN 11. JULI an: Nehmen Sie an einem Live-Gespräch mit Tom Garrison von Threatpost und Intel Security über Innovationen teil, die es Stakeholdern ermöglichen, einer dynamischen Bedrohungslandschaft immer einen Schritt voraus zu sein, und darüber, was Intel Security aus ihrer neuesten Studie in Zusammenarbeit mit dem Ponemon Institute gelernt hat. Veranstaltungsteilnehmer werden dazu ermutigt Vorschau des Berichts und stellen Sie während der Live-Diskussion Fragen. Erfahren Sie mehr und registrieren Sie sich hier.
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- der Regierung
- Kaspersky
- Malware
- McAfee
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Website-Sicherheit
- Zephyrnet
