Pelaku yang disponsori negara menyebarkan malware unik—yang menargetkan file tertentu dan tidak meninggalkan catatan ransomware—dalam serangan yang sedang berlangsung.
Beberapa agen federal memperingatkan organisasi kesehatan bahwa mereka berada di bawah ancaman serangan dari aktor yang disponsori negara Korea Utara menggunakan ransomware unik yang menargetkan file dengan presisi bedah, menurut otoritas federal AS.
Pelaku ancaman dari Korea Utara telah menggunakan ransomware Maui setidaknya sejak Mei 2021 untuk menargetkan organisasi di sektor kesehatan dan kesehatan masyarakat, menurut penasehat bersama dikeluarkan Rabu oleh Biro Investigasi Federal (FBI), Keamanan Siber dan Badan Keamanan Infrastruktur (CISA) dan Departemen Keuangan (Treasury).
Organisasi harus waspada terhadap indikator kompromi dan mengambil mitigasi terhadap serangan semacam itu, yang keduanya termasuk dalam penasihat federal.
Selain itu, jika organisasi menemukan diri mereka menjadi korban serangan, agensi merekomendasikan agar mereka menahan diri dari membayar uang tebusan yang diminta, “karena hal itu tidak menjamin file dan catatan akan dipulihkan dan dapat menimbulkan risiko sanksi,” tulis mereka dalam nasihat tersebut.
Ransomware Unik
Maui–yang telah aktif setidaknya sejak April 2021, menurut laporan pada ransomware oleh perusahaan keamanan siber Stairwell– memiliki beberapa karakteristik unik yang membedakannya dari ancaman ransomware-as-a-service (RaaS) lain yang saat ini sedang dimainkan.
“Maui menonjol bagi kami karena kurangnya beberapa fitur utama yang biasa kami lihat dengan perkakas dari penyedia RaaS,” tulis Silas Cutler, reverse engineer utama di Stairwell, dalam laporannya.
Ini termasuk kurangnya catatan tebusan untuk memberikan instruksi pemulihan atau cara otomatis untuk mengirimkan kunci enkripsi ke penyerang, tulisnya.
Karakteristik sebelumnya menambahkan kualitas yang sangat jahat pada serangan Maui, kata seorang profesional keamanan.
“Penjahat dunia maya ingin dibayar dengan cepat dan efektif, dan dengan sedikit informasi untuk korban, serangan itu semakin berbahaya,” kata James McQuiggan, advokat kesadaran keamanan di firma keamanan. TahuBe4, dalam email ke Threatpost.
Presisi Bedah
Karakteristik lain dari Maui yang berbeda dari ransomware lain adalah bahwa ia tampaknya dirancang untuk eksekusi manual oleh aktor ancaman, memungkinkan operatornya untuk "menentukan file mana yang akan dienkripsi saat menjalankannya dan kemudian mengekstrak artefak runtime yang dihasilkan," tulis Cutler.
Eksekusi manual ini adalah tren yang meningkat di antara operator malware tingkat lanjut, karena memungkinkan penyerang hanya menargetkan aset terpenting di jaringan, kata seorang profesional keamanan.
“Untuk serangan ransomware yang benar-benar melumpuhkan organisasi, pelaku ancaman perlu secara manual mengidentifikasi aset penting dan titik lemah untuk benar-benar menjatuhkan korban,” kata John Bambenek, pemburu ancaman utama di orang kaya, perusahaan SaaS analitik keamanan dan operasi, dalam email ke Threatpost. “Alat otomatis tidak dapat mengidentifikasi semua aspek unik dari setiap organisasi untuk memungkinkan penghapusan total.”
Memilih file tertentu untuk dienkripsi juga memberi penyerang lebih banyak kendali atas serangan sementara juga membuatnya sedikit lebih sedikit membebani korban untuk dibersihkan, kata Tim McGuffin, direktur Eegineering permusuhan di perusahaan konsultan keamanan informasi Konsultasi LARES.
“Dengan menargetkan file tertentu, penyerang dapat memilih apa yang sensitif dan apa yang akan dieksfiltrasi dengan cara yang jauh lebih taktis jika dibandingkan dengan ransomware 'semprot-dan-berdoa'," katanya. “Ini dapat menunjukkan 'itikad baik' dari grup ransomware dengan memungkinkan penargetan dan pemulihan hanya file sensitif dan tidak harus membangun kembali seluruh server jika [misalnya] file sistem operasi juga dienkripsi.”
Perawatan Kesehatan Di Bawah Api
Industri kesehatan telah menjadi target serangan yang meningkat, khususnya selama dua setengah tahun terakhir selama pandemi COVID-19. Memang, ada sejumlah alasan mengapa sektor ini terus menjadi target yang menarik bagi pelaku ancaman, kata para ahli.
Salah satunya adalah karena ini adalah industri yang menguntungkan secara finansial yang juga cenderung memiliki sistem TI yang ketinggalan zaman tanpa keamanan yang canggih. Hal ini membuat organisasi layanan kesehatan menjadi sasaran empuk bagi penjahat dunia maya, kata seorang profesional keamanan.
“Perawatan kesehatan adalah selalu ditargetkan karena anggaran operasi multi-juta dolar dan pedoman Federal AS yang mempersulit pembaruan sistem dengan cepat,” McQuiggan dari KnowBe4 mengamati.
Selain itu, serangan terhadap lembaga layanan kesehatan dapat membahayakan kesehatan masyarakat dan bahkan nyawa mereka, yang mungkin membuat organisasi di sektor ini lebih mungkin membayar uang tebusan kepada penjahat secara langsung, menurut pengamatan para ahli.
“Kebutuhan untuk memulihkan operasi secepat mungkin dapat mendorong organisasi perawatan kesehatan untuk lebih siap dan cepat membayar tuntutan pemerasan apa pun yang berasal dari ransomware,” kata Chris Clements, wakil presiden arsitektur solusi di perusahaan keamanan siber Penjaga Cerberus, dalam email ke Threatpost.
Karena penjahat dunia maya mengetahui hal ini, FBI, CISA, dan Departemen Keuangan mengatakan sektor ini dapat terus mengharapkan serangan dari aktor yang disponsori negara Korea Utara.
Informasi perawatan kesehatan juga sangat berharga bagi pelaku ancaman karena sifatnya yang sensitif dan pribadi, membuatnya mudah untuk dijual kembali di pasar kejahatan dunia maya serta berguna untuk membangun “kampanye serangan rekayasa sosial sekunder yang sangat disesuaikan,” Clements mengamati.
Urutan Serangan
Mengutip laporan Stairwell, agen federal memberikan rincian tentang bagaimana serangan oleh ransomware Maui—diinstal sebagai biner enkripsi yang disebut “maui.exe”—mengenkripsi file tertentu pada sistem organisasi.
Menggunakan antarmuka baris perintah, pelaku ancaman berinteraksi dengan ransomware untuk mengidentifikasi file mana yang akan dienkripsi, menggunakan kombinasi enkripsi Advanced Encryption Standard (AES), RSA, dan XOR.
First Maui mengenkripsi file target dengan enkripsi AES 128-bit, menetapkan setiap file kunci AES yang unik. Header khusus yang terdapat di setiap file yang menyertakan jalur asli file memungkinkan Maui mengidentifikasi file yang dienkripsi sebelumnya. Header juga berisi salinan terenkripsi dari kunci AES, kata para peneliti.
Maui mengenkripsi setiap kunci AES dengan enkripsi RSA dan memuat kunci publik RSA (maui.key) dan pribadi (maui.evd) di direktori yang sama dengan dirinya sendiri. Kemudian mengkodekan kunci publik RSA (maui.key) menggunakan enkripsi XOR dengan kunci XOR yang dihasilkan dari informasi hard drive.
Selama enkripsi, Maui membuat file sementara untuk setiap file yang dienkripsi menggunakan GetTempFileNameW(), dan menggunakan file ini untuk menampilkan output dari enkripsi, kata para peneliti. Setelah mengenkripsi file, Maui membuat maui.log, yang berisi output dari eksekusi Maui dan kemungkinan akan dieksfiltrasi oleh pelaku ancaman dan didekripsi menggunakan alat dekripsi terkait.
Daftar Sekarang untuk LIVE EVENT ini pada SENIN 11 JULI: Bergabunglah dengan Threatpost dan Tom Garrison dari Intel Security dalam percakapan langsung tentang inovasi yang memungkinkan pemangku kepentingan untuk tetap terdepan dalam lanskap ancaman yang dinamis dan apa yang dipelajari Intel Security dari studi terbaru mereka dalam kemitraan dengan Ponemon Institue. Peserta acara didorong untuk pratinjau laporan dan mengajukan pertanyaan selama diskusi langsung. Pelajari lebih lanjut dan daftar di sini.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Pemerintah
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- website security
- zephyrnet.dll
