Amerykańskie organizacje opieki zdrowotnej atakowane przez oprogramowanie ransomware Maui

Według władz federalnych USA kilka agencji federalnych ostrzega organizacje opieki zdrowotnej, że są zagrożone atakami ze strony północnokoreańskich podmiotów sponsorowanych przez państwo, wykorzystujących unikalne oprogramowanie ransomware, które atakuje pliki z chirurgiczną precyzją.

Podmioty zagrażające z Korei Północnej używają oprogramowania ransomware Maui od co najmniej maja 2021 r. do atakowania organizacji w sektorze opieki zdrowotnej i zdrowia publicznego, według wspólne doradztwo wydane w środę przez Federalne Biuro Śledcze (FBI), Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) oraz Departament Skarbu (Skarbu).

Organizacje powinny zwracać uwagę na oznaki kompromitacji i podejmować środki łagodzące takie ataki, które są zawarte w federalnym doradztwie.

Co więcej, jeśli organizacje staną się ofiarą ataku, agencje zalecają, aby powstrzymały się od płacenia żądanego okupu, „ponieważ nie gwarantuje to odzyskania plików i zapisów i może wiązać się z ryzykiem sankcji” – napisali w poradniku.

Unikalne oprogramowanie ransomware

Maui – który jest aktywny od co najmniej kwietnia 2021 r., według zgłosić na ransomware firmy Stairwell zajmującej się cyberbezpieczeństwem – ma pewne unikalne cechy, które odróżniają go od innych zagrożeń typu ransomware jako usługa (RaaS), które są obecnie w grze.

„Maui wyróżniało nas z powodu braku kilku kluczowych funkcji, które często widzimy w narzędziach od dostawców RaaS”, napisał w raporcie Silas Cutler, główny inżynier odwrotny w firmie Stairwell.

Należą do nich brak okupu w celu dostarczenia instrukcji odzyskiwania lub zautomatyzowanych sposobów przesyłania kluczy szyfrowania do atakujących, napisał.

Pierwsza cecha dodaje szczególnie złowrogiej jakości atakom na Maui, zauważył jeden z specjalistów ds. bezpieczeństwa.

„Cyberprzestępcy chcą szybko i skutecznie zarabiać, a przy niewielkiej ilości informacji dla ofiary atak ma coraz bardziej złośliwy charakter” — zauważył James McQuiggan, rzecznik świadomości bezpieczeństwa w firmie zajmującej się bezpieczeństwem. PoznajBe4, w e-mailu do Threatpost.

Chirurgiczna precyzja

Inną cechą Maui, która różni się od innych ransomware, jest to, że wydaje się być przeznaczony do ręcznego uruchamiania przez cyberprzestępców, co pozwala jego operatorom „określić, które pliki zaszyfrować podczas jego wykonywania, a następnie wydobyć powstałe artefakty uruchomieniowe” – napisał Cutler.

To ręczne wykonywanie jest trendem, który rośnie wśród zaawansowanych operatorów szkodliwego oprogramowania, ponieważ pozwala atakującym atakować tylko najważniejsze zasoby w sieci, zauważył jeden ze specjalistów ds. bezpieczeństwa.

„Aby naprawdę niszczyć organizację ataków ransomware, cyberprzestępcy muszą ręcznie zidentyfikować ważne zasoby i słabe punkty, aby naprawdę wyeliminować ofiarę” — zauważył John Bambenek, główny łowca zagrożeń w Netenricha, firma SaaS zajmująca się analizą bezpieczeństwa i operacji, w wiadomości e-mail do Threatpost. „Zautomatyzowane narzędzia po prostu nie mogą zidentyfikować wszystkich unikalnych aspektów każdej organizacji, aby umożliwić całkowite usunięcie”.

Wyodrębnienie określonych plików do zaszyfrowania daje również atakującym większą kontrolę nad atakiem, a jednocześnie sprawia, że ​​posprzątanie po nim jest nieco mniej obciążające dla ofiary, zauważył Tim McGuffin, dyrektor ds. Eegineering w firmie konsultingowej ds. bezpieczeństwa informacji. Doradztwo LARES.

„Uderzając w określone pliki, atakujący mogą wybrać, co jest wrażliwe, a co eksfiltrować w znacznie bardziej taktyczny sposób w porównaniu z oprogramowaniem ransomware typu „spray-i-módl” – powiedział. „Może to wskazywać na „dobrą wiarę” grupy ransomware, umożliwiając kierowanie i odzyskiwanie tylko poufnych plików i brak konieczności odbudowy całego serwera, jeśli [na przykład] pliki systemu operacyjnego również są zaszyfrowane”.

Opieka zdrowotna pod ostrzałem

Branża opieki zdrowotnej od lat cel wzmożonych ataków, szczególnie w ciągu ostatnich dwóch i pół roku podczas pandemii COVID-19. Rzeczywiście, istnieje wiele powodów, dla których sektor ten nadal jest atrakcyjnym celem dla cyberprzestępców, stwierdzili eksperci.

Jednym z nich jest to, że jest to branża dochodowa finansowo, która również ma przestarzałe systemy informatyczne bez wyrafinowanych zabezpieczeń. To sprawia, że ​​organizacje opieki zdrowotnej są mało skuteczne dla cyberprzestępców, zauważył jeden ze specjalistów ds. bezpieczeństwa.

„Opieka zdrowotna jest zawsze ukierunkowany ze względu na wielomilionowy budżet operacyjny i wytyczne federalne USA, które utrudniają szybką aktualizację systemów” — zauważył McQuiggan z KnowBe4.

Co więcej, ataki na agencje opieki zdrowotnej mogą narazić zdrowie ludzi, a nawet ich życie, co może sprawić, że organizacje z tego sektora będą bardziej skłonne do natychmiastowego płacenia okupów przestępcom, zauważyli eksperci.

„Konieczność jak najszybszego przywrócenia operacji może skłonić organizacje opieki zdrowotnej do szybszego i łatwiejszego spłacania wszelkich żądań wymuszeń wynikających z oprogramowania ransomware” — zauważył Chris Clements, wiceprezes ds. architektury rozwiązań w firmie zajmującej się cyberbezpieczeństwem. Strażnik Cerbera, w e-mailu do Threatpost.

Ponieważ cyberprzestępcy o tym wiedzą, FBI, CISA i Ministerstwo Skarbu stwierdziły, że sektor może nadal oczekiwać ataków ze strony podmiotów sponsorowanych przez państwo z Korei Północnej.

Informacje medyczne są również bardzo cenne dla cyberprzestępców ze względu na ich wrażliwy i prywatny charakter, ułatwiając odsprzedaż na rynkach cyberprzestępczych, a także przydatne do konstruowania „wysoce dostosowanych wtórnych kampanii ataków socjotechnicznych” – zauważył Clements.

Sekwencja ataku

Powołując się na raport Stairwell, agencje federalne przedstawiły analizę sposobu, w jaki atak ransomware'a Maui — zainstalowanego jako plik binarny szyfrujący o nazwie „maui.exe” — szyfruje określone pliki w systemie organizacji.

Korzystając z interfejsu wiersza poleceń, cyberprzestępcy wchodzą w interakcję z oprogramowaniem ransomware, aby zidentyfikować pliki do zaszyfrowania, korzystając z kombinacji szyfrowania Advanced Encryption Standard (AES), RSA i XOR.

First Maui szyfruje pliki docelowe za pomocą 128-bitowego szyfrowania AES, przypisując każdemu plikowi unikalny klucz AES. Niestandardowy nagłówek zawarty w każdym pliku, który zawiera oryginalną ścieżkę pliku, pozwala Maui zidentyfikować wcześniej zaszyfrowane pliki. Naukowcy twierdzą, że nagłówek zawiera również zaszyfrowane kopie klucza AES.

Maui szyfruje każdy klucz AES za pomocą szyfrowania RSA i ładuje klucze RSA publiczny (maui.key) i prywatny (maui.evd) do tego samego katalogu. Następnie koduje klucz publiczny RSA (maui.key) przy użyciu szyfrowania XOR z kluczem XOR, który jest generowany na podstawie informacji z dysku twardego.

Podczas szyfrowania Maui tworzy plik tymczasowy dla każdego pliku, który szyfruje za pomocą GetTempFileNameW(), i używa tego pliku do przygotowania danych wyjściowych z szyfrowania, twierdzą naukowcy. Po zaszyfrowaniu plików Maui tworzy plik maui.log, który zawiera dane wyjściowe z wykonania Maui i prawdopodobnie zostanie eksfiltrowany przez cyberprzestępców i odszyfrowany przy użyciu powiązanych narzędzi deszyfrujących.

Zarejestruj się teraz, aby wziąć udział w tym WYDARZENIU NA ŻYWO w PONIEDZIAŁEK 11 LIPCA: Dołącz do Threatpost i Toma Garrisona z Intel Security w rozmowie na żywo na temat innowacji umożliwiających interesariuszom wyprzedzenie dynamicznego krajobrazu zagrożeń oraz tego, czego Intel Security dowiedział się z ostatniego badania przeprowadzonego we współpracy z Ponemon Institue. Zachęcamy uczestników wydarzenia do podgląd raportu i zadawaj pytania podczas dyskusji na żywo. Dowiedz się więcej i zarejestruj się tutaj.