Riigi toetatud osalejad kasutavad käimasolevates rünnakutes ainulaadset pahavara, mis sihib konkreetseid faile ega jäta lunavara märkmeid.
USA föderaalvõimude sõnul hoiatavad mitmed föderaalasutused tervishoiuorganisatsioone, et neid ähvardavad rünnakud Põhja-Korea riiklikult toetatavatelt osalejatelt, kes kasutavad ainulaadset lunavara, mis sihib faile kirurgilise täpsusega.
Põhja-Koreast pärit ohutegijad on Maui lunavara kasutanud vähemalt 2021. aasta maist, et sihtida tervishoiu- ja rahvatervise sektori organisatsioone. ühine nõuandja kolmapäeval andsid välja föderaalne juurdlusbüroo (FBI), küberturvalisuse ja infrastruktuuri turvaagentuur (CISA) ja rahandusministeerium (rahandusministeerium).
Organisatsioonid peaksid otsima kompromissinäitajaid ja võtma selliste rünnakute vastu leevendusi, mis mõlemad sisalduvad föderaalses nõuandes.
Veelgi enam, kui organisatsioonid satuvad rünnaku ohvriks, soovitavad agentuurid hoiduda nõutud lunaraha maksmisest, kuna see ei garanteeri failide ja dokumentide taastamist ning võib kaasa tuua sanktsioonide ohu, kirjutasid nad nõuandes.
Unikaalne lunavara
Maui, mis on olnud aktiivne alates 2021. aasta aprillist aruanne küberjulgeolekufirma Stairwell lunavaras – sellel on mõned unikaalsed omadused, mis eristavad seda teistest praegu mängus olevatest lunavara-as-a-service (RaaS) ohtudest.
"Maui paistis meile silma mitmete põhifunktsioonide puudumise tõttu, mida me tavaliselt RaaS-i pakkujate tööriistade puhul näeme," kirjutas Stairwelli pöördinsener Silas Cutler aruandes.
Ta kirjutas, et nende hulka kuulub taastamisjuhiste või automaatsete vahendite puudumine krüpteerimisvõtmete edastamiseks.
Endine omadus lisab Maui rünnakutele eriti kurja kvaliteedi, märkis üks turvaspetsialist.
"Küberkurjategijad tahavad kiiresti ja tõhusalt palka saada ning kui ohvri kohta on vähe teavet, on rünnak olemuselt üha pahatahtlikum," märkis turvafirma turvateadlikkuse eestkõneleja James McQuiggan. KnowBe4, e-kirjas Threatpostile.
Kirurgiline täpsus
Veel üks Maui omadus, mis erineb muust lunavarast, on see, et see näib olevat mõeldud käsitsi käivitamiseks ohus osaleja poolt, võimaldades selle operaatoritel "täpsustada, milliseid faile selle käivitamisel krüptida ja seejärel väljutada sellest tulenevad käitusaegsed artefaktid", kirjutas Cutler.
See käsitsi täitmine on arenenud pahavaraoperaatorite seas leviv trend, kuna see võimaldab ründajatel sihtida ainult võrgu kõige olulisemat vara, märkis üks turvaspetsialist.
"Tõeliselt organisatsiooniliselt halvavate lunavararünnakute jaoks peavad ohus osalejad käsitsi tuvastama olulised varad ja nõrgad kohad, et ohver tõeliselt maha võtta," märkis John Bambenek, ettevõtte peamine ohukütt. Netenrich, turbe- ja operatsioonianalüütika SaaS-i ettevõte, saatis Threatpostile e-kirja. "Automatiseeritud tööriistad lihtsalt ei suuda tuvastada iga organisatsiooni kõiki ainulaadseid aspekte, et võimaldada täielikku eemaldamist."
Konkreetsete failide krüpteerimiseks eraldamine annab ründajatele ka suurema kontrolli rünnaku üle, muutes samas ohvri puhastamise veidi vähem koormavaks, märkis Tim McGuffin, infoturbe konsultatsioonifirma võistleva tehnika direktor. LARES Consulting.
"Konkreetsete failide sihtimisel saavad ründajad valida, mis on tundlik ja mida välja filtreerida, võrreldes "pihustage ja palveta" lunavaraga palju taktikalisemal viisil, " ütles ta. "See võib näidata lunavaragrupi heausksust, võimaldades sihtida ja taastada ainult tundlikke faile ega pea kogu serverit uuesti üles ehitama, kui [näiteks] operatsioonisüsteemi failid on samuti krüpteeritud."
Tervishoid tule all
Tervishoiutööstus on olnud suurenenud rünnakute sihtmärk, eriti viimase kahe ja poole aasta jooksul COVID-19 pandeemia ajal. Tõepoolest, on mitmeid põhjuseid, miks sektor on ohustajate jaoks jätkuvalt atraktiivne sihtmärk, ütlesid eksperdid.
Üks on tingitud sellest, et tegemist on rahaliselt tulusa tööstusharuga, millel kipub olema ka aegunud IT-süsteeme ilma keeruka turvalisuseta. See muudab tervishoiuorganisatsioonid küberkurjategijate jaoks madalaks, märkis üks turvaspetsialist.
"Tervishoid on alati suunatud nende mitme miljoni dollari suuruse tegevuseelarve ja USA föderaalsete juhiste tõttu, mis raskendavad süsteemide kiiret värskendamist,“ märkis KnowBe4 McQuiggan.
Lisaks võivad rünnakud tervishoiuasutuste vastu seada ohtu inimeste tervise ja isegi nende elu, mistõttu võivad sektori organisatsioonid suurema tõenäosusega kurjategijatele kohe lunaraha maksta, märkisid eksperdid.
"Vajadus taastada tegevus nii kiiresti kui võimalik võib panna tervishoiuorganisatsioonid kergemini ja kiiremini maksma lunavarast tulenevaid väljapressimisnõudeid," märkis küberturvalisuse ettevõtte lahenduste arhitektuuri asepresident Chris Clements. Cerberus Sentinel, e-kirjas Threatpostile.
Kuna küberkurjategijad teavad seda, ütles FBI, CISA ja rahandusministeerium, et sektor võib jätkuvalt oodata Põhja-Korea riiklikult toetatud osalejate rünnakuid.
Tervishoiualane teave on oma tundliku ja privaatse olemuse tõttu ka ohus osalejatele väga väärtuslik, muutes selle küberkurjategijatel turgudel edasimüümise lihtsaks ja kasulikuks "kõrgelt kohandatud sekundaarsete sotsiaalse manipuleerimise rünnakute kampaaniate koostamiseks", märkis Clements.
Rünnakute järjestus
Tsiteerides Stairwelli aruannet, esitasid föderaalsed agentuurid jaotuse selle kohta, kuidas Maui lunavara rünnak – mis on installitud krüptimise binaarfailina nimega „maui.exe” – krüpteerib konkreetseid faile organisatsiooni süsteemis.
Kasutades käsurea liidest, suhtlevad ohus osalejad lunavaraga, et tuvastada, milliseid faile krüpteerida, kasutades Advanced Encryption Standard (AES), RSA ja XOR krüptimise kombinatsiooni.
First Maui krüpteerib sihtfailid AES 128-bitise krüptimisega, määrates igale failile kordumatu AES-võtme. Igas failis sisalduv kohandatud päis, mis sisaldab faili algset teed, võimaldab Mauil tuvastada varem krüptitud faile. Teadlaste sõnul sisaldab päis ka AES-võtme krüpteeritud koopiaid.
Maui krüpteerib iga AES-võtme RSA-krüptimisega ja laadib RSA avaliku (maui.key) ja privaatvõtme (maui.evd) endaga samasse kataloogi. Seejärel kodeerib see RSA avaliku võtme (maui.key), kasutades XOR-krüptimist kõvaketta teabest genereeritud XOR-võtmega.
Teadlaste sõnul loob Maui krüptimise ajal ajutise faili iga faili jaoks, mida ta krüpteerib, kasutades GetTempFileNameW(), ja kasutab seda faili krüptimise väljundi etapis. Pärast failide krüptimist loob Maui faili maui.log, mis sisaldab Maui täitmise väljundit ja mille ohustajad tõenäoliselt välja filtreerivad ja seotud dekrüpteerimistööriistade abil dekrüpteeritakse.
Registreeruge kohe ESMASPÄEVAL, 11. JUULIL toimuvaks OTSESÜNDMUSEKS: Liituge Threatposti ja Intel Security esindaja Tom Garrisoniga reaalajas vestluses innovatsioonist, mis võimaldab sidusrühmadel dünaamilise ohumaastiku ees püsida ja mida Intel Security õppis nende viimasest uuringust koostöös Ponemon Institue'iga. Üritusest osavõtjaid julgustatakse aruande eelvaade ja esitage otsevestluse ajal küsimusi. Lisateave ja registreeruge siin.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Valitsus
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- kodulehel turvalisus
- sephyrnet
