Les organisations de santé américaines ciblées par Maui Ransomware

Plusieurs agences fédérales avertissent les organisations de santé qu'elles sont menacées d'attaques d'acteurs parrainés par l'État nord-coréen utilisant un rançongiciel unique qui cible les fichiers avec une précision chirurgicale, selon les autorités fédérales américaines.

Les acteurs de la menace de Corée du Nord utilisent le rançongiciel Maui depuis au moins mai 2021 pour cibler les organisations du secteur de la santé et de la santé publique, selon un avis conjoint publié mercredi par le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le Department of the Treasury (Trésor).

Les organisations doivent être à l'affût des indicateurs de compromission et prendre des mesures d'atténuation contre de telles attaques, qui sont toutes deux incluses dans l'avis fédéral.

De plus, si les organisations se retrouvent victimes d'une attaque, les agences leur recommandent de s'abstenir de payer toute rançon demandée, "car cela ne garantit pas que les fichiers et les enregistrements seront récupérés et peuvent présenter des risques de sanctions", ont-ils écrit dans l'avis.

Logiciel de rançon unique

Maui – qui est actif depuis au moins avril 2021, selon un rapport sur le ransomware de la société de cybersécurité Stairwell– présente des caractéristiques uniques qui le distinguent des autres menaces de ransomware en tant que service (RaaS) actuellement en jeu.

"Maui s'est démarqué pour nous en raison du manque de plusieurs fonctionnalités clés que nous voyons couramment avec les outils des fournisseurs RaaS", a écrit Silas Cutler, rétro-ingénieur principal chez Stairwell, dans le rapport.

Ceux-ci incluent l'absence d'une note de rançon pour fournir des instructions de récupération ou des moyens automatisés de transmission des clés de chiffrement aux attaquants, a-t-il écrit.

La première caractéristique ajoute une qualité particulièrement sinistre aux attaques de Maui, a observé un professionnel de la sécurité.

"Les cybercriminels veulent être payés rapidement et efficacement, et avec peu d'informations pour la victime, l'attaque est de plus en plus malveillante par nature", a observé James McQuiggan, défenseur de la sensibilisation à la sécurité chez l'entreprise de sécurité. KnowBe4, dans un e-mail adressé à Threatpost.

Précision chirurgicale

Une autre caractéristique de Maui qui diverge des autres rançongiciels est qu'il semble être conçu pour une exécution manuelle par un acteur menaçant, permettant à ses opérateurs de "spécifier les fichiers à chiffrer lors de son exécution, puis d'exfiltrer les artefacts d'exécution résultants", a écrit Cutler.

Cette exécution manuelle est une tendance en augmentation parmi les opérateurs de logiciels malveillants avancés, car elle permet aux attaquants de cibler uniquement les actifs les plus importants sur un réseau, a noté un professionnel de la sécurité.

« Pour des attaques de rançongiciels paralysantes véritablement organisationnelles, les acteurs de la menace doivent identifier manuellement les atouts importants et les points faibles pour vraiment éliminer une victime », a observé John Bambenek, principal chasseur de menaces chez Netenrich, une société SaaS d'analyse de la sécurité et des opérations, dans un e-mail adressé à Threatpost. "Les outils automatisés ne peuvent tout simplement pas identifier tous les aspects uniques de chaque organisation pour permettre un retrait complet."

Le fait de distinguer des fichiers spécifiques à chiffrer donne également aux attaquants plus de contrôle sur une attaque tout en rendant le nettoyage un peu moins pénible pour une victime, a noté Tim McGuffin, directeur de l'ingénierie contradictoire chez une société de conseil en sécurité de l'information. Conseil LARES.

"En ciblant des fichiers spécifiques, les attaquants peuvent choisir ce qui est sensible et ce qu'il faut exfiltrer d'une manière beaucoup plus tactique par rapport à un ransomware 'spray-and-pray'", a-t-il déclaré. "Cela peut montrer la" bonne foi "du groupe de rançongiciels en permettant le ciblage et la récupération uniquement des fichiers sensibles et en n'ayant pas à reconstruire l'intégralité du serveur si [par exemple] les fichiers du système d'exploitation sont également chiffrés."

La santé sous le feu

L'industrie de la santé a été le cible d'attaques accrues, en particulier au cours des deux dernières années et demie pendant la pandémie COVID-19. En effet, il existe un certain nombre de raisons pour lesquelles le secteur continue d'être une cible attrayante pour les acteurs de la menace, ont déclaré des experts.

La première est qu'il s'agit d'une industrie financièrement lucrative qui a également tendance à avoir des systèmes informatiques obsolètes sans sécurité sophistiquée. Cela rend les organisations de soins de santé faciles à saisir pour les cybercriminels, a noté un professionnel de la sécurité.

« Les soins de santé sont toujours ciblé en raison de leur budget de fonctionnement de plusieurs millions de dollars et des directives fédérales américaines qui rendent difficile la mise à jour rapide des systèmes », a observé McQuiggan de KnowBe4.

De plus, les attaques contre les agences de santé peuvent mettre en danger la santé et même la vie des personnes, ce qui pourrait rendre les organisations du secteur plus susceptibles de payer immédiatement des rançons aux criminels, ont observé des experts.

"La nécessité de restaurer les opérations le plus rapidement possible peut inciter les organisations de soins de santé à payer plus facilement et plus rapidement toute demande d'extorsion résultant d'un ransomware", a noté Chris Clements, vice-président de l'architecture des solutions chez la société de cybersécurité. Sentinelle de Cerberus, dans un e-mail adressé à Threatpost.

Parce que les cybercriminels le savent, le FBI, la CISA et le Trésor ont déclaré que le secteur pouvait continuer à s'attendre à des attaques d'acteurs parrainés par l'État nord-coréen.

Les informations sur les soins de santé sont également très précieuses pour les acteurs de la menace en raison de leur nature sensible et privée, ce qui les rend faciles à revendre sur les marchés cybercriminels et utiles pour construire des "campagnes d'attaques d'ingénierie sociale secondaires hautement personnalisées", a observé Clements.

Séquence d'attaque

Citant le rapport Stairwell, les agences fédérales ont fourni une ventilation de la façon dont une attaque par le rançongiciel Maui - installé en tant que binaire de cryptage appelé "maui.exe" - crypte des fichiers spécifiques sur le système d'une organisation.

À l'aide d'une interface de ligne de commande, les pirates interagissent avec le ransomware pour identifier les fichiers à chiffrer, en utilisant une combinaison de chiffrement Advanced Encryption Standard (AES), RSA et XOR.

First Maui crypte les fichiers cibles avec un cryptage AES 128 bits, attribuant à chaque fichier une clé AES unique. Un en-tête personnalisé contenu dans chaque fichier qui inclut le chemin d'accès d'origine du fichier permet à Maui d'identifier les fichiers précédemment cryptés. L'en-tête contient également des copies cryptées de la clé AES, ont déclaré les chercheurs.

Maui crypte chaque clé AES avec le cryptage RSA et charge les clés RSA publique (maui.key) et privée (maui.evd) dans le même répertoire que lui-même. Il code ensuite la clé publique RSA (maui.key) en utilisant le cryptage XOR avec une clé XOR générée à partir des informations du disque dur.

Lors du cryptage, Maui crée un fichier temporaire pour chaque fichier qu'il crypte à l'aide de GetTempFileNameW() et utilise ce fichier pour organiser la sortie du cryptage, ont déclaré les chercheurs. Après avoir chiffré les fichiers, Maui crée maui.log, qui contient la sortie de l'exécution de Maui et est susceptible d'être exfiltré par les acteurs de la menace et déchiffré à l'aide des outils de déchiffrement associés.

Inscrivez-vous maintenant pour cet ÉVÉNEMENT EN DIRECT le LUNDI 11 JUILLET: Rejoignez Threatpost et Tom Garrison d'Intel Security dans une conversation en direct sur l'innovation permettant aux parties prenantes de garder une longueur d'avance sur un paysage de menaces dynamique et sur ce qu'Intel Security a appris de sa dernière étude en partenariat avec Ponemon Institue. Les participants à l'événement sont encouragés à prévisualiser le rapport et poser des questions lors de la discussion en direct. En savoir plus et s'inscrire ici.