Organizaciones de atención médica de EE. UU. atacadas con Maui Ransomware

Varias agencias federales están advirtiendo a las organizaciones de atención médica que están bajo la amenaza de ataques de actores patrocinados por el estado de Corea del Norte que emplean un ransomware único que apunta a archivos con precisión quirúrgica, según las autoridades federales de EE. UU.

Los actores de amenazas de Corea del Norte han estado utilizando el ransomware Maui desde al menos mayo de 2021 para apuntar a organizaciones en el sector de la salud y la salud pública, según una asesoría conjunta emitido el miércoles por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento del Tesoro (Tesoro).

Las organizaciones deben estar atentas a los indicadores de compromiso y tomar medidas de mitigación contra tales ataques, los cuales están incluidos en el aviso federal.

Además, si las organizaciones son víctimas de un ataque, las agencias recomiendan que se abstengan de pagar cualquier rescate solicitado, “ya ​​que hacerlo no garantiza que se recuperarán los archivos y registros y puede presentar riesgos de sanciones”, escribieron en el aviso.

Ransomware único

Maui, que ha estado activo desde al menos abril de 2021, según para informar en el ransomware de la firma de seguridad cibernética Stairwell– tiene algunas características únicas que lo diferencian de otras amenazas de ransomware como servicio (RaaS) actualmente en juego.

“Maui se destacó para nosotros debido a la falta de varias características clave que comúnmente vemos con las herramientas de los proveedores de RaaS”, escribió en el informe Silas Cutler, ingeniero inverso principal de Stairwell.

Estos incluyen la falta de una nota de rescate para proporcionar instrucciones de recuperación o medios automatizados para transmitir claves de cifrado a los atacantes, escribió.

La primera característica agrega una cualidad especialmente siniestra a los ataques de Maui, observó un profesional de seguridad.

“Los ciberdelincuentes quieren que les paguen de manera rápida y efectiva, y con poca información para la víctima, el ataque es cada vez más malicioso por naturaleza”, observó James McQuiggan, defensor de la conciencia de seguridad en la empresa de seguridad. KnowBe4, en un correo electrónico a Threatpost.

Precisión quirúrgica

Otra característica de Maui que difiere de otros ransomware es que parece estar diseñado para la ejecución manual por parte de un actor de amenazas, lo que permite a sus operadores "especificar qué archivos cifrar al ejecutarlo y luego filtrar los artefactos de tiempo de ejecución resultantes", escribió Cutler.

Esta ejecución manual es una tendencia que está aumentando entre los operadores de malware avanzado, ya que permite a los atacantes apuntar solo a los activos más importantes de una red, señaló un profesional de seguridad.

“Para los ataques de ransomware verdaderamente paralizantes de la organización, los actores de amenazas deben identificar manualmente los activos importantes y los puntos débiles para acabar realmente con una víctima”, observó John Bambenek, principal cazador de amenazas de Netenrich, una empresa SaaS de análisis de seguridad y operaciones, en un correo electrónico a Threatpost. “Las herramientas automatizadas simplemente no pueden identificar todos los aspectos únicos de cada organización para permitir una eliminación completa”.

Seleccionar archivos específicos para encriptar también les da a los atacantes más control sobre un ataque y también hace que sea un poco menos exigente para una víctima limpiarlo después, señaló Tim McGuffin, director de ingeniería contradictoria en la firma de consultoría de seguridad de la información. Consultoría LARES.

“Al apuntar a archivos específicos, los atacantes pueden elegir qué es sensible y qué filtrar de una manera mucho más táctica en comparación con un ransomware de 'rociar y rezar'”, dijo. "Esto puede mostrar 'buena fe' por parte del grupo de ransomware al permitir la selección y recuperación de archivos confidenciales y no tener que reconstruir todo el servidor si [por ejemplo] los archivos del sistema operativo también están encriptados".

Atención médica bajo fuego

La industria de la salud ha sido la blanco de ataques crecientes, particularmente en los últimos dos años y medio durante la pandemia de COVID-19. De hecho, hay una serie de razones por las que el sector sigue siendo un objetivo atractivo para los actores de amenazas, dijeron los expertos.

Una es porque es una industria financieramente lucrativa que también tiende a tener sistemas de TI obsoletos sin seguridad sofisticada. Esto hace que las organizaciones de atención médica estén al alcance de la mano para los ciberdelincuentes, señaló un profesional de seguridad.

“La salud es siempre dirigido debido a su presupuesto operativo multimillonario ya las pautas federales de EE. UU. que dificultan la actualización rápida de los sistemas”, observó McQuiggan de KnowBe4.

Además, los ataques a las agencias de atención médica pueden poner en riesgo la salud de las personas e incluso sus vidas, lo que podría hacer que las organizaciones del sector sean más propensas a pagar rescates a los delincuentes de inmediato, observaron los expertos.

"La necesidad de restaurar las operaciones lo más rápido posible puede impulsar a las organizaciones de atención médica a pagar más rápida y fácilmente cualquier demanda de extorsión derivada del ransomware", señaló Chris Clements, vicepresidente de arquitectura de soluciones en la empresa de seguridad cibernética. Centinela de Cerberus, en un correo electrónico a Threatpost.

Debido a que los ciberdelincuentes saben esto, el FBI, CISA y el Tesoro dijeron que el sector puede seguir esperando ataques de actores patrocinados por el estado de Corea del Norte.

La información de atención médica también es muy valiosa para los actores de amenazas debido a su naturaleza confidencial y privada, lo que facilita la reventa en los mercados ciberdelincuentes y es útil para construir "campañas de ataque de ingeniería social secundaria altamente personalizadas", observó Clements.

Secuencia de Ataque

Citando el informe de Stairwell, las agencias federales proporcionaron un desglose de cómo un ataque del ransomware Maui, instalado como un binario de cifrado llamado “maui.exe”, cifra archivos específicos en el sistema de una organización.

Usando una interfaz de línea de comandos, los actores de amenazas interactúan con el ransomware para identificar qué archivos cifrar, utilizando una combinación de cifrado Advanced Encryption Standard (AES), RSA y XOR.

First Maui encripta los archivos de destino con encriptación AES de 128 bits y asigna a cada archivo una clave AES única. Un encabezado personalizado contenido en cada archivo que incluye la ruta original del archivo le permite a Maui identificar archivos previamente encriptados. El encabezado también contiene copias cifradas de la clave AES, dijeron los investigadores.

Maui encripta cada clave AES con encriptación RSA y carga las claves públicas (maui.key) y privadas (maui.evd) de RSA en el mismo directorio que él. Luego, codifica la clave pública RSA (maui.key) mediante el cifrado XOR con una clave XOR que se genera a partir de la información del disco duro.

Durante el cifrado, Maui crea un archivo temporal para cada archivo que cifra usando GetTempFileNameW(), y usa este archivo para organizar el resultado del cifrado, dijeron los investigadores. Después de cifrar los archivos, Maui crea maui.log, que contiene el resultado de la ejecución de Maui y es probable que los actores de amenazas lo extraigan y lo descifren con las herramientas de descifrado asociadas.

Regístrese ahora para este EVENTO EN VIVO el LUNES 11 DE JULIO: Únase a Threatpost y Tom Garrison de Intel Security en una conversación en vivo sobre la innovación que permite a las partes interesadas mantenerse a la vanguardia de un panorama dinámico de amenazas y lo que Intel Security aprendió de su último estudio en asociación con Ponemon Institue. Se anima a los asistentes al evento a vista previa del informe y hacer preguntas durante la discusión en vivo. Aprenda más y regístrese aquí.