سازمان‌های بهداشت و درمان ایالات متحده با باج‌افزار Maui مورد هدف قرار گرفته‌اند

تمبر زمان: 8 ژوئیه 2022، 6:46 صبح
گره منبع: 1574589

بازیگران تحت حمایت دولت در حال استفاده از بدافزار منحصربه‌فرد هستند – که فایل‌های خاصی را هدف قرار می‌دهد و هیچ یادداشتی از باج‌افزار باقی نمی‌گذارد – در حملات مداوم.

به گفته مقامات فدرال ایالات متحده، چندین آژانس فدرال به سازمان های مراقبت های بهداشتی هشدار می دهند که در معرض تهدید حملات بازیگران تحت حمایت دولت کره شمالی هستند که از باج افزار منحصر به فردی استفاده می کنند که فایل ها را با دقت جراحی هدف قرار می دهد.

به گفته عوامل تهدید از کره شمالی حداقل از ماه می 2021 از باج افزار Maui برای هدف قرار دادن سازمان ها در بخش مراقبت های بهداشتی و سلامت عمومی استفاده می کنند. یک مشاوره مشترک روز چهارشنبه توسط دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و وزارت خزانه داری (خزانه داری) صادر شد.

سازمان‌ها باید مراقب شاخص‌های سازش باشند و در برابر چنین حملاتی که هر دو در مشاوره فدرال گنجانده شده‌اند، اقدامات کاهشی انجام دهند.

خبرنامه Infosec Insiders

علاوه بر این، اگر سازمان‌ها خود را قربانی حمله بیابند، آژانس‌ها توصیه می‌کنند که از پرداخت هرگونه باج درخواستی خودداری کنند، «زیرا انجام این کار تضمینی برای بازیابی پرونده‌ها و سوابق نیست و ممکن است خطرات تحریمی ایجاد کند».

باج افزار منحصر به فرد

به گفته مائویی، که حداقل از آوریل 2021 فعال بوده است گزارش در مورد باج افزار توسط شرکت امنیت سایبری Stairwell – دارای برخی ویژگی های منحصر به فرد است که آن را از سایر تهدیدات باج افزار به عنوان یک سرویس (RaaS) متمایز می کند.

Silas Cutler، مهندس معکوس اصلی در Stairwell، در این گزارش نوشت: «Maui به دلیل کمبود چندین ویژگی کلیدی که معمولاً با ابزارهای ارائه‌دهندگان RaaS می‌بینیم، برای ما متمایز بود.

او نوشت که اینها شامل فقدان یادداشت باج برای ارائه دستورالعمل های بازیابی یا ابزارهای خودکار برای انتقال کلیدهای رمزگذاری به مهاجمان است.

به گفته یکی از متخصصان امنیتی، مشخصه قبلی به حملات Maui کیفیت بسیار شومی اضافه می کند.

جیمز مک‌کویگان، مدافع آگاهی امنیتی در شرکت امنیتی، اظهار داشت: "جنایتکاران سایبری می‌خواهند به سرعت و به طور موثر دستمزد دریافت کنند، و با اطلاعات کمی برای قربانی، این حمله ماهیت بدتری دارد." KnowBe4، در یک ایمیل به Threatpost.

دقت جراحی

کاتلر نوشت: یکی دیگر از ویژگی‌های Maui که از سایر باج‌افزارها متفاوت است، این است که به نظر می‌رسد برای اجرای دستی توسط یک عامل تهدید طراحی شده است و به اپراتورهای آن اجازه می‌دهد «مشخص کنند کدام فایل‌ها را هنگام اجرای آن رمزگذاری کنند و سپس مصنوعات زمان اجرا حاصل را استخراج کنند».

به گفته یک متخصص امنیتی، این اجرای دستی روندی است که در میان اپراتورهای بدافزار پیشرفته رو به افزایش است، زیرا به مهاجمان اجازه می‌دهد تنها مهم‌ترین دارایی‌های شبکه را هدف قرار دهند.

جان بامبنک (John Bambenek)، شکارچی اصلی تهدید، اظهار داشت: «برای حملات باج‌افزار فلج‌کننده واقعاً سازمانی، بازیگران تهدید باید دارایی‌های مهم و نقاط ضعف را به‌طور دستی شناسایی کنند تا واقعاً یک قربانی را از بین ببرند». Netenrich، یک شرکت تجزیه و تحلیل امنیتی و عملیات SaaS، در ایمیلی به Threatpost. "ابزارهای خودکار به سادگی نمی توانند تمام جنبه های منحصر به فرد هر سازمان را شناسایی کنند تا امکان حذف کامل را فراهم کنند."

تیم مک گافین، مدیر Eegineering در شرکت مشاوره امنیت اطلاعات، خاطرنشان کرد: جدا کردن فایل‌های خاص برای رمزگذاری همچنین به مهاجمان کنترل بیشتری بر حمله می‌دهد و در عین حال پاکسازی پس از آن را برای قربانی کاهش می‌دهد. مشاوره LARES.

او گفت: «با هدف قرار دادن فایل‌های خاص، مهاجمان می‌توانند در مقایسه با باج‌افزار «اسپری و دعا» به شیوه‌ای بسیار تاکتیکی‌تر انتخاب کنند که چه چیزی حساس است و چه چیزی را استخراج کنند. این می‌تواند با اجازه دادن به هدف‌گیری و بازیابی فایل‌های حساس و عدم نیاز به بازسازی کل سرور، اگر [به عنوان مثال] فایل‌های سیستم عامل نیز رمزگذاری شده باشند، «حسن نیت» گروه باج‌افزار را نشان دهد.»

مراقبت های بهداشتی زیر آتش

صنعت بهداشت و درمان بوده است هدف افزایش حملاتبه خصوص در دو سال و نیم گذشته در طول همه گیری COVID-19. به گفته کارشناسان، در واقع، دلایل متعددی وجود دارد که این بخش همچنان یک هدف جذاب برای بازیگران تهدید است.

یکی به این دلیل است که این صنعت از نظر مالی پرسود است که همچنین تمایل دارد سیستم های فناوری اطلاعات قدیمی و بدون امنیت پیچیده داشته باشد. یک متخصص امنیتی خاطرنشان کرد که این امر باعث می شود سازمان های مراقبت های بهداشتی میوه هایی را برای مجرمان سایبری کم ارزش کنند.

«مراقبت های بهداشتی است همیشه مورد هدف به دلیل بودجه عملیاتی چند میلیون دلاری آنها و دستورالعمل های فدرال ایالات متحده که به روز رسانی سریع سیستم ها را دشوار می کند.

کارشناسان مشاهده کردند، علاوه بر این، حملات به آژانس‌های مراقبت‌های بهداشتی می‌تواند سلامت افراد و حتی جان آنها را به خطر بیندازد، که ممکن است سازمان‌های این بخش را به احتمال زیاد به پرداخت باج به مجرمان بی‌درنگ تبدیل کند.

کریس کلمنتز، معاون معماری راه‌حل‌ها در شرکت امنیت سایبری، خاطرنشان کرد: «نیاز به بازیابی هر چه سریع‌تر عملیات می‌تواند سازمان‌های مراقبت‌های بهداشتی را به پرداخت آسان‌تر و سریع‌تر هرگونه درخواست اخاذی ناشی از باج‌افزارها سوق دهد. سربروس سنتینل، در ایمیلی به Threatpost.

از آنجایی که مجرمان سایبری این را می دانند، FBI، CISA و وزارت خزانه داری گفتند که این بخش می تواند همچنان منتظر حملات از سوی بازیگران تحت حمایت دولت کره شمالی باشد.

کلمنتز مشاهده کرد، اطلاعات مراقبت‌های بهداشتی نیز به دلیل ماهیت حساس و خصوصی آن برای عوامل تهدید بسیار ارزشمند است و فروش مجدد آن در بازارهای مجرمان سایبری را آسان می‌کند و همچنین برای ساخت «کمپین‌های حمله مهندسی اجتماعی ثانویه بسیار مناسب» مفید است.

دنباله حمله

با استناد به گزارش Stairwell، آژانس‌های فدرال گزارشی از نحوه رمزگذاری فایل‌های خاص در سیستم یک سازمان توسط یک حمله باج‌افزار Maui - که به‌عنوان یک باینری رمزگذاری به نام «maui.exe» نصب شده است، ارائه کردند.

با استفاده از یک رابط خط فرمان، عوامل تهدید با باج‌افزار تعامل می‌کنند تا تشخیص دهند کدام فایل‌ها باید رمزگذاری شوند، با استفاده از ترکیبی از استاندارد رمزگذاری پیشرفته (AES)، رمزگذاری RSA و XOR.

First Maui فایل های هدف را با رمزگذاری AES 128 بیتی رمزگذاری می کند و به هر فایل یک کلید AES اختصاص می دهد. یک هدر سفارشی موجود در هر فایل که شامل مسیر اصلی فایل است به Maui اجازه می‌دهد تا فایل‌های رمزگذاری شده قبلی را شناسایی کند. به گفته محققان، هدر همچنین حاوی کپی های رمزگذاری شده از کلید AES است.

Maui هر کلید AES را با رمزگذاری RSA رمزگذاری می‌کند و کلیدهای عمومی (maui.key) و خصوصی (maui.evd) RSA را در همان دایرکتوری بارگیری می‌کند. سپس کلید عمومی RSA (maui.key) را با استفاده از رمزگذاری XOR با یک کلید XOR که از اطلاعات هارد دیسک تولید می شود، رمزگذاری می کند.

به گفته محققان، در طول رمزگذاری، Maui برای هر فایلی که با استفاده از GetTempFileNameW() رمزگذاری می کند، یک فایل موقت ایجاد می کند و از این فایل برای مرحله بندی خروجی از رمزگذاری استفاده می کند. پس از رمزگذاری فایل‌ها، Maui maui.log را ایجاد می‌کند که حاوی خروجی اجرای Maui است و احتمالاً توسط عوامل تهدید استخراج شده و با استفاده از ابزارهای رمزگشایی مرتبط رمزگشایی می‌شود.

اکنون برای این رویداد زنده در دوشنبه 11 ژوئیه ثبت نام کنید: به Threatpost و تام گاریسون از امنیت اینتل در یک گفتگوی زنده در مورد نوآوری که به ذینفعان امکان می دهد جلوتر از چشم انداز تهدید پویا باقی بمانند و آنچه امنیت اینتل از آخرین مطالعه آنها در مشارکت با Ponemon Institue آموخته، بپیوندید. شرکت کنندگان در رویداد تشویق می شوند پیش نمایش گزارش و در طول بحث زنده سوال بپرسید. بیشتر بیاموزید و اینجا ثبت نام کنید.

تمبر زمان:

بیشتر از دولت