ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐกำลังปรับใช้มัลแวร์ที่ไม่ซ้ำกัน ซึ่งกำหนดเป้าหมายไฟล์เฉพาะและไม่ทิ้งบันทึกแรนซัมแวร์ในการโจมตีอย่างต่อเนื่อง
หน่วยงานของรัฐบาลกลางหลายแห่งเตือนองค์กรด้านการดูแลสุขภาพว่าพวกเขาอยู่ภายใต้การคุกคามของการโจมตีจากนักแสดงที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่งใช้แรนซัมแวร์ที่ไม่เหมือนใครซึ่งกำหนดเป้าหมายไฟล์ด้วยความแม่นยำในการผ่าตัด
ผู้คุกคามจากเกาหลีเหนือใช้ Maui ransomware ตั้งแต่อย่างน้อยพฤษภาคม 2021 เพื่อกำหนดเป้าหมายองค์กรในภาคการดูแลสุขภาพและสาธารณสุข ที่ปรึกษาร่วมกัน ออกเมื่อวันพุธโดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และกรมธนารักษ์ (ธนารักษ์)
องค์กรควรมองหาตัวบ่งชี้ของการประนีประนอมและดำเนินการบรรเทาการโจมตีดังกล่าว ซึ่งทั้งสองอย่างนี้รวมอยู่ในคำแนะนำของรัฐบาลกลาง
นอกจากนี้ หากองค์กรพบว่าตนเองตกเป็นเหยื่อของการโจมตี หน่วยงานแนะนำว่าอย่าจ่ายเงินเรียกค่าไถ่ใด ๆ ที่ร้องขอ “เนื่องจากการทำเช่นนั้นไม่ได้รับประกันว่าไฟล์และบันทึกต่างๆ จะถูกกู้คืนและอาจมีความเสี่ยงในการคว่ำบาตร” พวกเขาเขียนไว้ในคำแนะนำ
แรนซัมแวร์ที่ไม่เหมือนใคร
Maui– ซึ่งเปิดใช้งานตั้งแต่อย่างน้อยเมษายน 2021 ตาม เพื่อรายงาน บน ransomware โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Stairwell– มีลักษณะเฉพาะบางอย่างที่ทำให้แตกต่างจากภัยคุกคาม ransomware-as-a-service (RaaS) อื่น ๆ ที่กำลังเล่นอยู่
“Maui โดดเด่นสำหรับเราเนื่องจากขาดคุณสมบัติหลักหลายประการที่เราเห็นได้จากเครื่องมือจากผู้ให้บริการ RaaS” Silas Cutler หัวหน้าวิศวกรย้อนกลับที่ Stairwell เขียนในรายงาน
ซึ่งรวมถึงการขาดหมายเหตุเรียกค่าไถ่เพื่อให้คำแนะนำในการกู้คืนหรือวิธีการอัตโนมัติในการส่งคีย์การเข้ารหัสไปยังผู้โจมตี เขาเขียน
ลักษณะเดิมเพิ่มคุณภาพที่น่ากลัวโดยเฉพาะอย่างยิ่งให้กับการโจมตี Maui โดยสังเกตจากผู้เชี่ยวชาญด้านความปลอดภัยคนหนึ่ง
“อาชญากรไซเบอร์ต้องการรับเงินอย่างรวดเร็วและมีประสิทธิภาพ และด้วยข้อมูลเพียงเล็กน้อยสำหรับเหยื่อ การโจมตีจึงกลายเป็นอันตรายมากขึ้นเรื่อยๆ” James McQuiggan ผู้สนับสนุนด้านความตระหนักด้านความปลอดภัยในบริษัทรักษาความปลอดภัยตั้งข้อสังเกต KnowBe4ในอีเมลถึง Threatpost
ความแม่นยำในการผ่าตัด
คุณลักษณะอีกอย่างของ Maui ที่แตกต่างจากแรนซัมแวร์อื่น ๆ ก็คือ ดูเหมือนว่าจะได้รับการออกแบบสำหรับการดำเนินการด้วยตนเองโดยผู้โจมตี ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถ “ระบุไฟล์ที่จะเข้ารหัสเมื่อเรียกใช้งาน จากนั้นจึงกรองเอาสิ่งประดิษฐ์รันไทม์ที่เป็นผลลัพธ์ออกมา” Cutler เขียน
การดำเนินการด้วยตนเองนี้เป็นแนวโน้มที่เพิ่มขึ้นในหมู่ผู้ดำเนินการมัลแวร์ขั้นสูง เนื่องจากช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายเฉพาะสินทรัพย์ที่สำคัญที่สุดในเครือข่ายเท่านั้น ผู้เชี่ยวชาญด้านความปลอดภัยรายหนึ่งกล่าว
“สำหรับการโจมตีแรนซัมแวร์ที่ทำให้องค์กรเสียอำนาจอย่างแท้จริง ผู้คุกคามจำเป็นต้องระบุสินทรัพย์ที่สำคัญและจุดอ่อนด้วยตนเองเพื่อจัดการเหยื่ออย่างแท้จริง” จอห์น แบมเบเนก นักล่าภัยคุกคามหลักที่ เนเทนริชซึ่งเป็นบริษัท SaaS ด้านการวิเคราะห์ความปลอดภัยและการดำเนินงานในอีเมลถึง Threatpost “เครื่องมืออัตโนมัติไม่สามารถระบุลักษณะเฉพาะทั้งหมดของแต่ละองค์กรเพื่อให้สามารถลบออกได้อย่างสมบูรณ์”
Tim McGuffin ผู้อำนวยการฝ่าย Eegineering ของบริษัทที่ปรึกษาด้านความปลอดภัยข้อมูลกล่าวว่า การแยกไฟล์เฉพาะออกมาเพื่อเข้ารหัสยังช่วยให้ผู้โจมตีสามารถควบคุมการโจมตีได้มากขึ้น ขณะเดียวกันก็ทำให้เหยื่อต้องเสียภาษีน้อยลงเล็กน้อย ที่ปรึกษา LARES.
“ด้วยการกำหนดเป้าหมายไฟล์เฉพาะ ผู้โจมตีสามารถเลือกสิ่งที่ละเอียดอ่อนและสิ่งที่จะกรองออกมาในรูปแบบยุทธวิธีที่มากกว่าเมื่อเปรียบเทียบกับแรนซัมแวร์ 'spray-and-pray'” เขากล่าว “สิ่งนี้สามารถแสดง 'ความเชื่อที่ดี' จากกลุ่มแรนซัมแวร์โดยอนุญาตให้กำหนดเป้าหมายและกู้คืนไฟล์ที่ละเอียดอ่อนเท่านั้น และไม่ต้องสร้างเซิร์ฟเวอร์ใหม่ทั้งหมดหาก [ตัวอย่าง] ไฟล์ระบบปฏิบัติการได้รับการเข้ารหัสเช่นกัน”
การดูแลสุขภาพภายใต้ไฟ
อุตสาหกรรมการดูแลสุขภาพได้รับ เป้าหมายของการโจมตีที่เพิ่มขึ้นโดยเฉพาะอย่างยิ่งในช่วงสองปีครึ่งที่ผ่านมา ระหว่างการแพร่ระบาดของ COVID-19. ผู้เชี่ยวชาญกล่าวว่ามีเหตุผลหลายประการที่ภาคส่วนนี้ยังคงเป็นเป้าหมายที่น่าสนใจสำหรับผู้คุกคาม
หนึ่งเนื่องจากเป็นอุตสาหกรรมที่ทำกำไรทางการเงินซึ่งมีแนวโน้มที่จะมีระบบไอทีที่ล้าสมัยโดยไม่มีการรักษาความปลอดภัยที่ซับซ้อน ผู้เชี่ยวชาญด้านความปลอดภัยรายหนึ่งตั้งข้อสังเกตว่าสิ่งนี้ทำให้องค์กรด้านการดูแลสุขภาพไม่ประสบความสำเร็จสำหรับอาชญากรไซเบอร์
“การดูแลสุขภาพคือ กำหนดเป้าหมายเสมอ เนื่องจากงบประมาณการดำเนินงานหลายล้านดอลลาร์และแนวทางของรัฐบาลกลางสหรัฐ ซึ่งทำให้การอัปเดตระบบอย่างรวดเร็วเป็นเรื่องยาก” McQuiggan จาก KnowBe4 กล่าว
ยิ่งไปกว่านั้น การโจมตีหน่วยงานด้านสุขภาพอาจทำให้สุขภาพของประชาชนและแม้กระทั่งชีวิตของพวกเขาตกอยู่ในความเสี่ยง ซึ่งอาจทำให้องค์กรในภาคส่วนนี้มีแนวโน้มที่จะจ่ายค่าไถ่ให้กับอาชญากรในทันที ผู้เชี่ยวชาญตั้งข้อสังเกต
Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของบริษัทความปลอดภัยทางไซเบอร์กล่าวว่า "ความจำเป็นในการกู้คืนการดำเนินงานโดยเร็วที่สุดสามารถผลักดันองค์กรด้านการดูแลสุขภาพให้จ่ายเงินความต้องการการขู่กรรโชกที่เกิดจากแรนซัมแวร์ได้อย่างรวดเร็วและรวดเร็วยิ่งขึ้น" เซอร์เบอรัส เซนติเนลในอีเมลถึง Threatpost
เนื่องจากอาชญากรไซเบอร์รู้เรื่องนี้ FBI, CISA และ Treasury กล่าวว่าภาคส่วนนี้ยังคงคาดหวังการโจมตีจากนักแสดงที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ
ข้อมูลด้านการรักษาพยาบาลยังมีคุณค่าอย่างมากต่อผู้คุกคามเนื่องจากมีลักษณะที่ละเอียดอ่อนและเป็นส่วนตัว ทำให้ง่ายต่อการขายต่อในตลาดอาชญากรไซเบอร์ รวมทั้งมีประโยชน์ในการสร้าง
ลำดับการโจมตี
จากรายงานของ Stairwell หน่วยงานของรัฐบาลกลางได้ให้รายละเอียดเกี่ยวกับวิธีการโจมตีของ Maui ransomware ซึ่งติดตั้งเป็นไบนารีการเข้ารหัสที่เรียกว่า “maui.exe” จะเข้ารหัสไฟล์เฉพาะในระบบขององค์กร
การใช้อินเทอร์เฟซบรรทัดคำสั่ง ผู้คุกคามสามารถโต้ตอบกับแรนซัมแวร์เพื่อระบุไฟล์ที่จะเข้ารหัส โดยใช้การผสมผสานระหว่างมาตรฐานการเข้ารหัสขั้นสูง (AES), การเข้ารหัส RSA และ XOR
Maui แรกเข้ารหัสไฟล์เป้าหมายด้วยการเข้ารหัส AES 128 บิต โดยกำหนดให้แต่ละไฟล์มีคีย์ AES ที่ไม่ซ้ำกัน ส่วนหัวที่กำหนดเองที่มีอยู่ในแต่ละไฟล์ที่มีเส้นทางดั้งเดิมของไฟล์ช่วยให้ Maui สามารถระบุไฟล์ที่เข้ารหัสก่อนหน้านี้ได้ ส่วนหัวยังมีสำเนาที่เข้ารหัสของคีย์ AES นักวิจัยกล่าว
Maui เข้ารหัสคีย์ AES แต่ละคีย์ด้วยการเข้ารหัส RSA และโหลดคีย์ RSA สาธารณะ (maui.key) และคีย์ส่วนตัว (maui.evd) ในไดเร็กทอรีเดียวกันกับตัวเอง จากนั้นจะเข้ารหัสคีย์สาธารณะ RSA (maui.key) โดยใช้การเข้ารหัส XOR ด้วยคีย์ XOR ที่สร้างขึ้นจากข้อมูลฮาร์ดไดรฟ์
ในระหว่างการเข้ารหัส Maui จะสร้างไฟล์ชั่วคราวสำหรับแต่ละไฟล์ที่เข้ารหัสโดยใช้ GetTempFileNameW() และใช้ไฟล์นี้เพื่อสร้างสเตจเอาต์พุตจากการเข้ารหัส นักวิจัยกล่าว หลังจากเข้ารหัสไฟล์แล้ว Maui จะสร้าง maui.log ซึ่งมีผลลัพธ์จากการดำเนินการของ Maui และมีแนวโน้มว่าจะถูกกรองออกโดยผู้คุกคามและถอดรหัสโดยใช้เครื่องมือถอดรหัสที่เกี่ยวข้อง
ลงทะเบียนตอนนี้สำหรับ LIVE EVENT ในวันจันทร์ที่ 11 กรกฎาคม: เข้าร่วม Threatpost และ Tom Garrison ของ Intel Security ในการสนทนาสดเกี่ยวกับนวัตกรรมที่ช่วยให้ผู้มีส่วนได้ส่วนเสียนำหน้าแนวภัยคุกคามแบบไดนามิกและสิ่งที่ Intel Security ได้เรียนรู้จากการศึกษาล่าสุดร่วมกับ Ponemon Institue ขอเชิญผู้เข้าร่วมกิจกรรม ดูตัวอย่างรายงาน และถามคำถามระหว่างการสนทนาสด เรียนรู้เพิ่มเติมและลงทะเบียนที่นี่.
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- รัฐบาล
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
