Organizações de saúde dos EUA direcionadas ao Maui Ransomware

Várias agências federais estão alertando as organizações de saúde que estão sob ameaça de ataques de atores patrocinados pelo Estado norte-coreano que empregam um ransomware exclusivo que visa arquivos com precisão cirúrgica, de acordo com as autoridades federais dos EUA.

Os atores de ameaças da Coreia do Norte têm usado o ransomware Maui desde pelo menos maio de 2021 para atingir organizações do setor de saúde e saúde pública, de acordo com uma assessoria conjunta emitido na quarta-feira pelo Federal Bureau of Investigation (FBI), pela Cybersecurity and Infrastructure Security Agency (CISA) e pelo Departamento do Tesouro (Tesouro).

As organizações devem estar atentas a indicadores de compromisso e tomar medidas de mitigação contra tais ataques, ambos incluídos no aconselhamento federal.

Além disso, se as organizações forem vítimas de ataque, as agências recomendam que se abstenham de pagar qualquer resgate solicitado, “pois isso não garante que os ficheiros e registos serão recuperados e pode representar riscos de sanções”, escreveram no comunicado.

Ransomware exclusivo

Maui – que está ativo desde pelo menos abril de 2021, de acordo com um relatório no ransomware da empresa de segurança cibernética Stairwell – tem algumas características únicas que o diferenciam de outras ameaças de ransomware como serviço (RaaS) atualmente em uso.

“Maui se destacou para nós devido à falta de vários recursos importantes que comumente vemos em ferramentas de provedores de RaaS”, escreveu Silas Cutler, principal engenheiro reverso da Stairwell, no relatório.

Isso inclui a falta de uma nota de resgate para fornecer instruções de recuperação ou meios automatizados de transmissão de chaves de criptografia aos invasores, escreveu ele.

A primeira característica acrescenta uma qualidade especialmente sinistra aos ataques em Maui, observou um profissional de segurança.

“Os cibercriminosos querem ser pagos de forma rápida e eficaz e, com poucas informações para a vítima, o ataque é cada vez mais malicioso por natureza”, observou James McQuiggan, defensor da conscientização de segurança na empresa de segurança. KnowBe4, em um e-mail para Threatpost.

Precisão cirúrgica

Outra característica do Maui que diverge de outros ransomware é que ele parece ter sido projetado para execução manual por um agente de ameaça, permitindo que seus operadores “especifiquem quais arquivos criptografar ao executá-lo e, em seguida, extraiam os artefatos de tempo de execução resultantes”, escreveu Cutler.

Esta execução manual é uma tendência que está aumentando entre os operadores avançados de malware, pois permite que os invasores atinjam apenas os ativos mais importantes de uma rede, observou um profissional de segurança.

“Para ataques de ransomware verdadeiramente paralisantes organizacionais, os agentes de ameaças precisam identificar manualmente os ativos importantes e os pontos fracos para realmente derrubar uma vítima”, observou John Bambenek, principal caçador de ameaças da Netenrich, uma empresa de SaaS de análise de segurança e operações, em um e-mail para Threatpost. “As ferramentas automatizadas simplesmente não conseguem identificar todos os aspectos únicos de cada organização para permitir uma desmontagem completa.”

Selecionar arquivos específicos para criptografar também dá aos invasores mais controle sobre um ataque, ao mesmo tempo que torna a limpeza um pouco menos cansativa para a vítima, observou Tim McGuffin, diretor de engenharia contraditória da empresa de consultoria de segurança da informação. Consultoria LARES.

“Ao visar arquivos específicos, os invasores podem escolher o que é sensível e o que exfiltrar de uma forma muito mais tática quando comparado a um ransomware 'spray-and-pray'”, disse ele. “Isso pode mostrar 'boa fé' do grupo de ransomware, permitindo o direcionamento e a recuperação apenas de arquivos confidenciais e não tendo que reconstruir todo o servidor se [por exemplo] os arquivos do sistema operacional também estiverem criptografados.”

Saúde sob fogo

O setor de saúde tem sido o alvo de ataques crescentes, especialmente nos últimos dois anos e meio durante a pandemia COVID-19. Na verdade, há uma série de razões pelas quais o sector continua a ser um alvo atraente para os actores de ameaças, disseram os especialistas.

Uma delas é porque é uma indústria financeiramente lucrativa que também tende a ter sistemas de TI desatualizados sem segurança sofisticada. Isso torna as organizações de saúde fáceis de alcançar para os cibercriminosos, observou um profissional de segurança.

“A saúde é sempre direcionado devido ao seu orçamento operacional multimilionário e às diretrizes federais dos EUA que dificultam a atualização rápida dos sistemas”, observou McQuiggan da KnowBe4.

Além disso, os ataques às agências de saúde podem colocar em risco a saúde das pessoas e até as suas vidas, o que pode tornar as organizações do sector mais propensas a pagar resgates imediatos aos criminosos, observaram os especialistas.

“A necessidade de restaurar as operações o mais rápido possível pode levar as organizações de saúde a pagar mais prontamente e rapidamente quaisquer demandas de extorsão decorrentes de ransomware”, observou Chris Clements, vice-presidente de arquitetura de soluções da empresa de segurança cibernética. Sentinela Cerberus, em um e-mail para Threatpost.

Como os cibercriminosos sabem disso, o FBI, a CISA e o Tesouro afirmaram que o setor pode continuar a esperar ataques de intervenientes patrocinados pelo Estado norte-coreano.

As informações de saúde também são altamente valiosas para os agentes de ameaças devido à sua natureza sensível e privada, tornando-as fáceis de revender em mercados cibercriminosos, bem como úteis para construir “campanhas secundárias de ataque de engenharia social altamente personalizadas”, observou Clements.

Sequência de Ataque

Citando o relatório Stairwell, as agências federais forneceram um detalhamento de como um ataque do ransomware Maui – instalado como um binário de criptografia chamado “maui.exe” – criptografa arquivos específicos no sistema de uma organização.

Usando uma interface de linha de comando, os agentes da ameaça interagem com o ransomware para identificar quais arquivos criptografar, usando uma combinação de criptografia Advanced Encryption Standard (AES), RSA e XOR.

O First Maui criptografa os arquivos de destino com criptografia AES de 128 bits, atribuindo a cada arquivo uma chave AES exclusiva. Um cabeçalho personalizado contido em cada arquivo que inclui o caminho original do arquivo permite que Maui identifique arquivos criptografados anteriormente. O cabeçalho também contém cópias criptografadas da chave AES, disseram os pesquisadores.

Maui criptografa cada chave AES com criptografia RSA e carrega as chaves RSA pública (maui.key) e privada (maui.evd) no mesmo diretório que ele. Em seguida, ele codifica a chave pública RSA (maui.key) usando criptografia XOR com uma chave XOR gerada a partir de informações do disco rígido.

Durante a criptografia, Maui cria um arquivo temporário para cada arquivo criptografado usando GetTempFileNameW() e usa esse arquivo para preparar a saída da criptografia, disseram os pesquisadores. Depois de criptografar os arquivos, Maui cria maui.log, que contém resultados da execução de Maui e provavelmente será exfiltrado por agentes de ameaças e descriptografado usando ferramentas de descriptografia associadas.

Inscreva-se agora para este EVENTO AO VIVO na SEGUNDA-FEIRA, 11 DE JULHO: Junte-se ao Threatpost e ao Tom Garrison, da Intel Security, em uma conversa ao vivo sobre inovação, permitindo que as partes interessadas fiquem à frente de um cenário dinâmico de ameaças e o que a Intel Security aprendeu em seu último estudo em parceria com o Ponemon Institue. Os participantes do evento são incentivados a visualizar o relatório e faça perguntas durante a discussão ao vivo. Saiba mais e registre-se aqui.