Οι φορείς που χρηματοδοτούνται από το κράτος αναπτύσσουν το μοναδικό κακόβουλο λογισμικό –το οποίο στοχεύει συγκεκριμένα αρχεία και δεν αφήνει σημείωση ransomware– σε συνεχείς επιθέσεις.
Αρκετές ομοσπονδιακές υπηρεσίες προειδοποιούν τους οργανισμούς υγειονομικής περίθαλψης ότι απειλούνται από επιθέσεις από φορείς που χρηματοδοτούνται από το κράτος της Βόρειας Κορέας που χρησιμοποιούν ένα μοναδικό ransomware που στοχεύει αρχεία με χειρουργική ακρίβεια, σύμφωνα με τις ομοσπονδιακές αρχές των ΗΠΑ.
Παράγοντες απειλών από τη Βόρεια Κορέα χρησιμοποιούν ransomware Maui τουλάχιστον από τον Μάιο του 2021 για να στοχεύσουν οργανισμούς στον τομέα της υγείας και της δημόσιας υγείας, σύμφωνα με μια κοινή συμβουλευτική που εκδόθηκε την Τετάρτη από το Ομοσπονδιακό Γραφείο Ερευνών (FBI), την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) και το Υπουργείο Οικονομικών (Υπουργείο Οικονομικών).
Οι οργανισμοί θα πρέπει να είναι σε επιφυλακή για δείκτες συμβιβασμού και να λαμβάνουν μέτρα μετριασμού έναντι τέτοιων επιθέσεων, οι οποίες περιλαμβάνονται και οι δύο στην ομοσπονδιακή συμβουλευτική.
Επιπλέον, εάν οι οργανώσεις βρεθούν θύμα επίθεσης, οι υπηρεσίες συνιστούν να απέχουν από την πληρωμή λύτρων που ζητούνται, «καθώς κάτι τέτοιο δεν εγγυάται την ανάκτηση αρχείων και αρχείων και μπορεί να εγκυμονεί κινδύνους κυρώσεων», έγραψαν στη συμβουλευτική.
Μοναδικό Ransomware
Maui–η οποία είναι ενεργή τουλάχιστον από τον Απρίλιο του 2021, σύμφωνα με να αναφέρουν σχετικά με το ransomware της εταιρείας κυβερνοασφάλειας Stairwell– έχει μερικά μοναδικά χαρακτηριστικά που το ξεχωρίζουν από άλλες απειλές ransomware-as-a-service (RaaS) που διαδραματίζονται αυτήν τη στιγμή.
«Το Maui μας ξεχώρισε λόγω της έλλειψης πολλών βασικών χαρακτηριστικών που βλέπουμε συνήθως με εργαλεία από παρόχους RaaS», έγραψε στην έκθεση ο Silas Cutler, κύριος μηχανικός αντίστροφης λειτουργίας στο Stairwell.
Αυτά περιλαμβάνουν την έλλειψη σημείωσης λύτρων για την παροχή οδηγιών ανάκτησης ή αυτοματοποιημένων μέσων μετάδοσης κλειδιών κρυπτογράφησης στους εισβολείς, έγραψε.
Το πρώτο χαρακτηριστικό προσθέτει μια ιδιαίτερα απαίσια ποιότητα στις επιθέσεις Maui, παρατήρησε ένας επαγγελματίας ασφαλείας.
«Οι εγκληματίες του κυβερνοχώρου θέλουν να πληρώνονται γρήγορα και αποτελεσματικά και με λίγες πληροφορίες για το θύμα, η επίθεση είναι ολοένα και πιο κακόβουλης φύσης», παρατήρησε ο James McQuiggan, συνήγορος ευαισθητοποίησης για την ασφάλεια στην εταιρεία ασφαλείας. ΓνωρίζωBe4, σε ένα e-mail στο Threatpost.
Χειρουργική Ακρίβεια
Ένα άλλο χαρακτηριστικό του Maui που αποκλίνει από άλλα ransomware είναι ότι φαίνεται να έχει σχεδιαστεί για χειροκίνητη εκτέλεση από έναν παράγοντα απειλής, επιτρέποντας στους χειριστές του να «καθορίζουν ποια αρχεία θα κρυπτογραφούν κατά την εκτέλεσή του και στη συνέχεια να εκμεταλλεύονται τα προκύπτοντα τεχνουργήματα χρόνου εκτέλεσης», έγραψε ο Cutler.
Αυτή η μη αυτόματη εκτέλεση είναι μια τάση που αυξάνεται μεταξύ των προηγμένων χειριστών κακόβουλου λογισμικού, καθώς επιτρέπει στους εισβολείς να στοχεύουν μόνο τα πιο σημαντικά στοιχεία σε ένα δίκτυο, σημείωσε ένας επαγγελματίας ασφαλείας.
«Για πραγματικά οργανωτικές επιθέσεις ransomware που ακρωτηριάζουν, οι φορείς απειλών πρέπει να προσδιορίζουν με μη αυτόματο τρόπο τα σημαντικά περιουσιακά στοιχεία και τα αδύναμα σημεία για να εξοντώσουν πραγματικά ένα θύμα», παρατήρησε ο John Bambenek, κύριος κυνηγός απειλών στο Νέτενριχ, μια εταιρεία ανάλυσης ασφάλειας και λειτουργιών SaaS, σε ένα email στο Threatpost. "Τα αυτοματοποιημένα εργαλεία απλά δεν μπορούν να προσδιορίσουν όλες τις μοναδικές πτυχές κάθε οργανισμού για να επιτρέψουν την πλήρη κατάργηση."
Η επιλογή συγκεκριμένων αρχείων για κρυπτογράφηση δίνει επίσης στους εισβολείς περισσότερο έλεγχο σε μια επίθεση, ενώ ταυτόχρονα καθιστά ελαφρώς λιγότερο φορολογικό για ένα θύμα να καθαρίσει μετά, σημείωσε ο Tim McGuffin, διευθυντής της αντιπάλου Eegineering στην εταιρεία συμβούλων ασφάλειας πληροφοριών Συμβουλευτική LARES.
«Στοχεύοντας συγκεκριμένα αρχεία, οι επιτιθέμενοι μπορούν να επιλέξουν τι είναι ευαίσθητο και τι θα διεισδύσουν με πολύ πιο τακτικό τρόπο σε σύγκριση με ένα ransomware «ψεκάζω και προσεύχομαι»», είπε. «Αυτό μπορεί να δείξει «καλή πίστη» από την ομάδα ransomware, επιτρέποντας τη στόχευση και την ανάκτηση μόνο ευαίσθητων αρχείων και χωρίς να χρειάζεται να αναδημιουργηθεί ολόκληρος ο διακομιστής, εάν [για παράδειγμα] τα αρχεία του λειτουργικού συστήματος είναι επίσης κρυπτογραφημένα».
Η υγειονομική περίθαλψη υπό πυρκαγιά
Ο κλάδος της υγείας ήταν η στόχος αυξημένων επιθέσεων, ιδιαίτερα τα τελευταία δυόμισι χρόνια κατά τη διάρκεια της πανδημίας COVID-19. Πράγματι, υπάρχουν αρκετοί λόγοι για τους οποίους ο τομέας συνεχίζει να αποτελεί ελκυστικό στόχο για τους παράγοντες απειλών, είπαν οι ειδικοί.
Το ένα είναι επειδή είναι μια οικονομικά προσοδοφόρα βιομηχανία που τείνει επίσης να έχει ξεπερασμένα συστήματα πληροφορικής χωρίς εξελιγμένη ασφάλεια. Αυτό καθιστά τους οργανισμούς υγειονομικής περίθαλψης χαμηλούς καρπούς για τους εγκληματίες του κυβερνοχώρου, σημείωσε ένας επαγγελματίας ασφάλειας.
«Η υγειονομική περίθαλψη είναι πάντα στοχευμένα λόγω του λειτουργικού προϋπολογισμού πολλών εκατομμυρίων δολαρίων και των ομοσπονδιακών κατευθυντήριων γραμμών των ΗΠΑ που καθιστούν δύσκολη τη γρήγορη ενημέρωση των συστημάτων», παρατήρησε ο McQuiggan του KnowBe4.
Επιπλέον, οι επιθέσεις σε φορείς υγειονομικής περίθαλψης μπορούν να θέσουν σε κίνδυνο την υγεία των ανθρώπων, ακόμη και τη ζωή τους, γεγονός που μπορεί να κάνει τις οργανώσεις του κλάδου πιο πιθανό να πληρώσουν λύτρα σε εγκληματίες αμέσως, παρατήρησαν ειδικοί.
«Η ανάγκη αποκατάστασης των λειτουργιών όσο το δυνατόν γρηγορότερα μπορεί να οδηγήσει τους οργανισμούς υγειονομικής περίθαλψης να πληρώσουν πιο εύκολα και γρήγορα οποιεσδήποτε απαιτήσεις εκβιασμού που προκύπτουν από ransomware», σημείωσε ο Chris Clements, αντιπρόεδρος αρχιτεκτονικής λύσεων στην εταιρεία κυβερνοασφάλειας. Σέρμπερς Sentinel, σε ένα email στο Threatpost.
Επειδή οι εγκληματίες του κυβερνοχώρου το γνωρίζουν αυτό, το FBI, η CISA και το Υπουργείο Οικονομικών δήλωσαν ότι ο τομέας μπορεί να συνεχίσει να αναμένει επιθέσεις από φορείς που υποστηρίζονται από το κράτος της Βόρειας Κορέας.
Οι πληροφορίες για την υγειονομική περίθαλψη είναι επίσης πολύτιμες για τους φορείς απειλών λόγω της ευαίσθητης και ιδιωτικής τους φύσης, καθιστώντας εύκολη τη μεταπώλησή τους σε αγορές κυβερνοεγκληματικότητας καθώς και χρήσιμες για τη δημιουργία «υψηλά προσαρμοσμένων δευτερευουσών εκστρατειών επιθέσεων κοινωνικής μηχανικής», παρατήρησε ο Clements.
Ακολουθία επίθεσης
Επικαλούμενοι την έκθεση Stairwell, οι ομοσπονδιακές υπηρεσίες παρείχαν μια ανάλυση του τρόπου με τον οποίο μια επίθεση από το ransomware Maui —εγκατεστημένο ως δυαδικό αρχείο κρυπτογράφησης που ονομάζεται «maui.exe»— κρυπτογραφεί συγκεκριμένα αρχεία στο σύστημα ενός οργανισμού.
Χρησιμοποιώντας μια διεπαφή γραμμής εντολών, οι παράγοντες απειλών αλληλεπιδρούν με το ransomware για να προσδιορίσουν ποια αρχεία θα κρυπτογραφηθούν, χρησιμοποιώντας έναν συνδυασμό προηγμένων προτύπων κρυπτογράφησης (AES), RSA και κρυπτογράφησης XOR.
Το First Maui κρυπτογραφεί τα αρχεία προορισμού με κρυπτογράφηση AES 128-bit, εκχωρώντας σε κάθε αρχείο ένα μοναδικό κλειδί AES. Μια προσαρμοσμένη κεφαλίδα που περιέχεται σε κάθε αρχείο που περιλαμβάνει την αρχική διαδρομή του αρχείου επιτρέπει στο Maui να αναγνωρίζει προηγουμένως κρυπτογραφημένα αρχεία. Η κεφαλίδα περιέχει επίσης κρυπτογραφημένα αντίγραφα του κλειδιού AES, είπαν οι ερευνητές.
Το Maui κρυπτογραφεί κάθε κλειδί AES με κρυπτογράφηση RSA και φορτώνει το δημόσιο κλειδί RSA (maui.key) και το ιδιωτικό (maui.evd) στον ίδιο κατάλογο με τον εαυτό του. Στη συνέχεια κωδικοποιεί το δημόσιο κλειδί RSA (maui.key) χρησιμοποιώντας κρυπτογράφηση XOR με ένα κλειδί XOR που δημιουργείται από πληροφορίες σκληρού δίσκου.
Κατά τη διάρκεια της κρυπτογράφησης, ο Maui δημιουργεί ένα προσωρινό αρχείο για κάθε αρχείο που κρυπτογραφεί χρησιμοποιώντας το GetTempFileNameW() και χρησιμοποιεί αυτό το αρχείο για να σταδώσει την έξοδο από την κρυπτογράφηση, είπαν οι ερευνητές. Μετά την κρυπτογράφηση αρχείων, ο Maui δημιουργεί το maui.log, το οποίο περιέχει έξοδο από την εκτέλεση του Maui και είναι πιθανό να διεξαχθεί από τους παράγοντες απειλών και να αποκρυπτογραφηθεί χρησιμοποιώντας τα σχετικά εργαλεία αποκρυπτογράφησης.
Εγγραφείτε τώρα για αυτό το LIVE EVENT τη ΔΕΥΤΕΡΑ 11 ΙΟΥΛΙΟΥ: Ακολουθήστε τη Threatpost και τον Tom Garrison της Intel Security σε μια ζωντανή συνομιλία σχετικά με την καινοτομία που επιτρέπει στους ενδιαφερόμενους να παραμείνουν μπροστά σε ένα δυναμικό τοπίο απειλών και τι έμαθε η Intel Security από την τελευταία τους μελέτη σε συνεργασία με το Ponemon Institue. Οι συμμετέχοντες στην εκδήλωση ενθαρρύνονται να προεπισκόπηση της αναφοράς και κάντε ερωτήσεις κατά τη διάρκεια της ζωντανής συζήτησης. Μάθετε περισσότερα και εγγραφείτε εδώ.
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Κυβέρνηση
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
