بازیگران تحت حمایت دولت در حال استفاده از بدافزار منحصربهفرد هستند – که فایلهای خاصی را هدف قرار میدهد و هیچ یادداشتی از باجافزار باقی نمیگذارد – در حملات مداوم.
به گفته مقامات فدرال ایالات متحده، چندین آژانس فدرال به سازمان های مراقبت های بهداشتی هشدار می دهند که در معرض تهدید حملات بازیگران تحت حمایت دولت کره شمالی هستند که از باج افزار منحصر به فردی استفاده می کنند که فایل ها را با دقت جراحی هدف قرار می دهد.
به گفته عوامل تهدید از کره شمالی حداقل از ماه می 2021 از باج افزار Maui برای هدف قرار دادن سازمان ها در بخش مراقبت های بهداشتی و سلامت عمومی استفاده می کنند. یک مشاوره مشترک روز چهارشنبه توسط دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و وزارت خزانه داری (خزانه داری) صادر شد.
سازمانها باید مراقب شاخصهای سازش باشند و در برابر چنین حملاتی که هر دو در مشاوره فدرال گنجانده شدهاند، اقدامات کاهشی انجام دهند.
علاوه بر این، اگر سازمانها خود را قربانی حمله بیابند، آژانسها توصیه میکنند که از پرداخت هرگونه باج درخواستی خودداری کنند، «زیرا انجام این کار تضمینی برای بازیابی پروندهها و سوابق نیست و ممکن است خطرات تحریمی ایجاد کند».
باج افزار منحصر به فرد
به گفته مائویی، که حداقل از آوریل 2021 فعال بوده است گزارش در مورد باج افزار توسط شرکت امنیت سایبری Stairwell – دارای برخی ویژگی های منحصر به فرد است که آن را از سایر تهدیدات باج افزار به عنوان یک سرویس (RaaS) متمایز می کند.
Silas Cutler، مهندس معکوس اصلی در Stairwell، در این گزارش نوشت: «Maui به دلیل کمبود چندین ویژگی کلیدی که معمولاً با ابزارهای ارائهدهندگان RaaS میبینیم، برای ما متمایز بود.
او نوشت که اینها شامل فقدان یادداشت باج برای ارائه دستورالعمل های بازیابی یا ابزارهای خودکار برای انتقال کلیدهای رمزگذاری به مهاجمان است.
به گفته یکی از متخصصان امنیتی، مشخصه قبلی به حملات Maui کیفیت بسیار شومی اضافه می کند.
جیمز مککویگان، مدافع آگاهی امنیتی در شرکت امنیتی، اظهار داشت: "جنایتکاران سایبری میخواهند به سرعت و به طور موثر دستمزد دریافت کنند، و با اطلاعات کمی برای قربانی، این حمله ماهیت بدتری دارد." KnowBe4، در یک ایمیل به Threatpost.
دقت جراحی
کاتلر نوشت: یکی دیگر از ویژگیهای Maui که از سایر باجافزارها متفاوت است، این است که به نظر میرسد برای اجرای دستی توسط یک عامل تهدید طراحی شده است و به اپراتورهای آن اجازه میدهد «مشخص کنند کدام فایلها را هنگام اجرای آن رمزگذاری کنند و سپس مصنوعات زمان اجرا حاصل را استخراج کنند».
به گفته یک متخصص امنیتی، این اجرای دستی روندی است که در میان اپراتورهای بدافزار پیشرفته رو به افزایش است، زیرا به مهاجمان اجازه میدهد تنها مهمترین داراییهای شبکه را هدف قرار دهند.
جان بامبنک (John Bambenek)، شکارچی اصلی تهدید، اظهار داشت: «برای حملات باجافزار فلجکننده واقعاً سازمانی، بازیگران تهدید باید داراییهای مهم و نقاط ضعف را بهطور دستی شناسایی کنند تا واقعاً یک قربانی را از بین ببرند». Netenrich، یک شرکت تجزیه و تحلیل امنیتی و عملیات SaaS، در ایمیلی به Threatpost. "ابزارهای خودکار به سادگی نمی توانند تمام جنبه های منحصر به فرد هر سازمان را شناسایی کنند تا امکان حذف کامل را فراهم کنند."
تیم مک گافین، مدیر Eegineering در شرکت مشاوره امنیت اطلاعات، خاطرنشان کرد: جدا کردن فایلهای خاص برای رمزگذاری همچنین به مهاجمان کنترل بیشتری بر حمله میدهد و در عین حال پاکسازی پس از آن را برای قربانی کاهش میدهد. مشاوره LARES.
او گفت: «با هدف قرار دادن فایلهای خاص، مهاجمان میتوانند در مقایسه با باجافزار «اسپری و دعا» به شیوهای بسیار تاکتیکیتر انتخاب کنند که چه چیزی حساس است و چه چیزی را استخراج کنند. این میتواند با اجازه دادن به هدفگیری و بازیابی فایلهای حساس و عدم نیاز به بازسازی کل سرور، اگر [به عنوان مثال] فایلهای سیستم عامل نیز رمزگذاری شده باشند، «حسن نیت» گروه باجافزار را نشان دهد.»
مراقبت های بهداشتی زیر آتش
صنعت بهداشت و درمان بوده است هدف افزایش حملاتبه خصوص در دو سال و نیم گذشته در طول همه گیری COVID-19. به گفته کارشناسان، در واقع، دلایل متعددی وجود دارد که این بخش همچنان یک هدف جذاب برای بازیگران تهدید است.
یکی به این دلیل است که این صنعت از نظر مالی پرسود است که همچنین تمایل دارد سیستم های فناوری اطلاعات قدیمی و بدون امنیت پیچیده داشته باشد. یک متخصص امنیتی خاطرنشان کرد که این امر باعث می شود سازمان های مراقبت های بهداشتی میوه هایی را برای مجرمان سایبری کم ارزش کنند.
«مراقبت های بهداشتی است همیشه مورد هدف به دلیل بودجه عملیاتی چند میلیون دلاری آنها و دستورالعمل های فدرال ایالات متحده که به روز رسانی سریع سیستم ها را دشوار می کند.
کارشناسان مشاهده کردند، علاوه بر این، حملات به آژانسهای مراقبتهای بهداشتی میتواند سلامت افراد و حتی جان آنها را به خطر بیندازد، که ممکن است سازمانهای این بخش را به احتمال زیاد به پرداخت باج به مجرمان بیدرنگ تبدیل کند.
کریس کلمنتز، معاون معماری راهحلها در شرکت امنیت سایبری، خاطرنشان کرد: «نیاز به بازیابی هر چه سریعتر عملیات میتواند سازمانهای مراقبتهای بهداشتی را به پرداخت آسانتر و سریعتر هرگونه درخواست اخاذی ناشی از باجافزارها سوق دهد. سربروس سنتینل، در ایمیلی به Threatpost.
از آنجایی که مجرمان سایبری این را می دانند، FBI، CISA و وزارت خزانه داری گفتند که این بخش می تواند همچنان منتظر حملات از سوی بازیگران تحت حمایت دولت کره شمالی باشد.
کلمنتز مشاهده کرد، اطلاعات مراقبتهای بهداشتی نیز به دلیل ماهیت حساس و خصوصی آن برای عوامل تهدید بسیار ارزشمند است و فروش مجدد آن در بازارهای مجرمان سایبری را آسان میکند و همچنین برای ساخت «کمپینهای حمله مهندسی اجتماعی ثانویه بسیار مناسب» مفید است.
دنباله حمله
با استناد به گزارش Stairwell، آژانسهای فدرال گزارشی از نحوه رمزگذاری فایلهای خاص در سیستم یک سازمان توسط یک حمله باجافزار Maui - که بهعنوان یک باینری رمزگذاری به نام «maui.exe» نصب شده است، ارائه کردند.
با استفاده از یک رابط خط فرمان، عوامل تهدید با باجافزار تعامل میکنند تا تشخیص دهند کدام فایلها باید رمزگذاری شوند، با استفاده از ترکیبی از استاندارد رمزگذاری پیشرفته (AES)، رمزگذاری RSA و XOR.
First Maui فایل های هدف را با رمزگذاری AES 128 بیتی رمزگذاری می کند و به هر فایل یک کلید AES اختصاص می دهد. یک هدر سفارشی موجود در هر فایل که شامل مسیر اصلی فایل است به Maui اجازه میدهد تا فایلهای رمزگذاری شده قبلی را شناسایی کند. به گفته محققان، هدر همچنین حاوی کپی های رمزگذاری شده از کلید AES است.
Maui هر کلید AES را با رمزگذاری RSA رمزگذاری میکند و کلیدهای عمومی (maui.key) و خصوصی (maui.evd) RSA را در همان دایرکتوری بارگیری میکند. سپس کلید عمومی RSA (maui.key) را با استفاده از رمزگذاری XOR با یک کلید XOR که از اطلاعات هارد دیسک تولید می شود، رمزگذاری می کند.
به گفته محققان، در طول رمزگذاری، Maui برای هر فایلی که با استفاده از GetTempFileNameW() رمزگذاری می کند، یک فایل موقت ایجاد می کند و از این فایل برای مرحله بندی خروجی از رمزگذاری استفاده می کند. پس از رمزگذاری فایلها، Maui maui.log را ایجاد میکند که حاوی خروجی اجرای Maui است و احتمالاً توسط عوامل تهدید استخراج شده و با استفاده از ابزارهای رمزگشایی مرتبط رمزگشایی میشود.
اکنون برای این رویداد زنده در دوشنبه 11 ژوئیه ثبت نام کنید: به Threatpost و تام گاریسون از امنیت اینتل در یک گفتگوی زنده در مورد نوآوری که به ذینفعان امکان می دهد جلوتر از چشم انداز تهدید پویا باقی بمانند و آنچه امنیت اینتل از آخرین مطالعه آنها در مشارکت با Ponemon Institue آموخته، بپیوندید. شرکت کنندگان در رویداد تشویق می شوند پیش نمایش گزارش و در طول بحث زنده سوال بپرسید. بیشتر بیاموزید و اینجا ثبت نام کنید.