Maui Ransomware ile Hedeflenen ABD Sağlık Kuruluşları

ABD federal yetkililerine göre, birçok federal kurum, sağlık kuruluşlarını, dosyaları cerrahi hassasiyetle hedef alan benzersiz bir fidye yazılımı kullanan Kuzey Kore devleti destekli aktörlerin saldırı tehdidi altında oldukları konusunda uyarıyor.

Kuzey Koreli tehdit aktörleri, sağlık ve halk sağlığı sektöründeki kuruluşları hedef almak için en az Mayıs 2021'den bu yana Maui fidye yazılımını kullanıyor. ortak bir tavsiye Çarşamba günü Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Hazine Bakanlığı (Hazine) tarafından yayınlandı.

Kuruluşlar, uzlaşma göstergelerine dikkat etmeli ve bu tür saldırılara karşı hafifletici önlemler almalıdır; bunların her ikisi de federal tavsiyelerde yer almaktadır.

Üstelik kuruluşlar kendilerini bir saldırının kurbanı olarak görürlerse, kurumlar istenen fidyeyi ödemekten kaçınmalarını tavsiye ediyor, çünkü bunu yapmak dosya ve kayıtların kurtarılacağını garanti etmiyor ve yaptırım riskleri doğurabiliyor.

Benzersiz Fidye Yazılımı

Maui'ye göre en az Nisan 2021'den beri aktif bir rapor Siber güvenlik firması Stairwell tarafından geliştirilen fidye yazılımı, onu şu anda yürürlükte olan diğer hizmet olarak fidye yazılımı (RaaS) tehditlerinden ayıran bazı benzersiz özelliklere sahip.

Stairwell'in baş tersine mühendisi Silas Cutler raporda şunları yazdı: "Maui, RaaS sağlayıcılarının araçlarında yaygın olarak gördüğümüz bazı temel özelliklerin eksikliği nedeniyle önümüze çıktı."

Bunlar arasında, kurtarma talimatlarını sağlayacak bir fidye notunun bulunmaması veya şifreleme anahtarlarının saldırganlara iletilmesi için otomatikleştirilmiş yöntemler de yer alıyor, diye yazdı.

Bir güvenlik uzmanı, ilk özelliğin Maui saldırılarına özellikle kötücül bir nitelik kattığını gözlemledi.

Güvenlik firmasında güvenlik farkındalığı savunucusu James McQuiggan, "Siber suçlular ödemelerini hızlı ve etkili bir şekilde almak istiyor ve kurbana çok az bilgi verildiğinde saldırı doğası gereği giderek daha kötü niyetli hale geliyor" dedi. BilBe4, Threatpost'a gönderilen bir e-postada.

Cerrahi Hassasiyet

Cutler, Maui'nin diğer fidye yazılımlarından ayrılan bir başka özelliği de, bir tehdit aktörü tarafından manuel olarak yürütülmek üzere tasarlanmış gibi görünmesi ve operatörlerinin "çalıştırırken hangi dosyaların şifreleneceğini belirlemesine ve ardından ortaya çıkan çalışma zamanı yapıtlarını dışarı çıkarmasına" olanak sağlamasıdır. diye yazdı Cutler.

Bir güvenlik uzmanı, saldırganların ağdaki yalnızca en önemli varlıkları hedeflemesine olanak tanıdığından, bu manuel yürütmenin gelişmiş kötü amaçlı yazılım operatörleri arasında giderek artan bir eğilim olduğunu belirtti.

Şirketin baş tehdit avcısı John Bambanek, "Gerçekten organizasyonel açıdan felce uğratan fidye yazılımı saldırıları için, tehdit aktörlerinin kurbanı gerçekten alt etmek için önemli varlıkları ve zayıf noktaları manuel olarak belirlemesi gerekiyor" dedi. Netenrichbir güvenlik ve operasyon analitiği SaaS firması olan Threatpost'a bir e-posta gönderdi. "Otomatik araçlar, her kuruluşun tamamen ortadan kaldırılmasını sağlayacak benzersiz yönlerinin tamamını tanımlayamaz."

Bilgi güvenliği danışmanlık firmasının çekişmeli Eegineering direktörü Tim McGuffin, şifrelemek için belirli dosyaların seçilmesinin saldırganlara saldırı üzerinde daha fazla kontrol sağlamanın yanı sıra kurbanın daha sonra temizlemesini de biraz daha az külfetli hale getirdiğini belirtti. LARES Danışmanlık.

"Saldırganlar, belirli dosyaları hedef alarak neyin hassas olduğunu ve neyin sızdırılacağını 'püskürt ve dua et' fidye yazılımıyla karşılaştırıldığında çok daha taktiksel bir şekilde seçebiliyor" dedi. "Bu, yalnızca hassas dosyaların hedeflenmesine ve kurtarılmasına izin vererek ve [örneğin] işletim sistemi dosyaları da şifrelenmişse tüm sunucuyu yeniden kurma zorunluluğunu ortadan kaldırarak fidye yazılımı grubunun 'iyi niyetini' gösterebilir."

Sağlık Ateşi Altında

Sağlık sektörü son dönemde Artan saldırıların hedefiözellikle son iki buçuk yılda COVID-19 salgını sırasında. Uzmanlar, sektörün tehdit aktörleri için cazip bir hedef olmaya devam etmesinin çeşitli nedenleri olduğunu söylüyor.

Birincisi, mali açıdan kazançlı bir sektör olması ve aynı zamanda karmaşık güvenlik önlemlerine sahip olmayan eski BT sistemlerine sahip olma eğiliminde olmasıdır. Bir güvenlik uzmanı, bu durumun sağlık kuruluşlarının siber suçlular açısından kolay sonuç verdiğini belirtti.

“Sağlık hizmeti her zaman hedeflenmiş KnowBe4'ten McQuiggan, multimilyon dolarlık işletme bütçeleri ve sistemlerin hızlı bir şekilde güncellenmesini zorlaştıran ABD Federal yönergeleri nedeniyle" yorumunu yaptı.

Üstelik uzmanlar, sağlık kuruluşlarına yönelik saldırıların insanların sağlığını ve hatta hayatlarını riske atabileceğini, bunun da sektördeki kuruluşların suçlulara doğrudan fidye ödeme olasılığını artırabileceğini gözlemledi.

Siber güvenlik şirketinin çözüm mimarisinden sorumlu başkan yardımcısı Chris Clements, "Operasyonları olabildiğince hızlı bir şekilde geri yükleme ihtiyacı, sağlık kuruluşlarını fidye yazılımından kaynaklanan her türlü gasp talebini daha kolay ve hızlı bir şekilde ödemeye yönlendirebilir" dedi. Cerberus Nöbetçisi, Threatpost'a gönderilen bir e-postada.

Siber suçlular bunu bildiği için FBI, CISA ve Hazine, sektörün Kuzey Kore devlet destekli aktörlerden saldırı beklemeye devam edebileceğini söyledi.

Clements, sağlık hizmetleri bilgilerinin hassas ve özel yapısı nedeniyle tehdit aktörleri için son derece değerli olduğunu, siber suç pazarlarında yeniden satılmasını kolaylaştırdığını ve "son derece özel ikincil sosyal mühendislik saldırı kampanyaları" oluşturmayı kolaylaştırdığını gözlemledi.

Saldırı Sırası

Federal kurumlar, Stairwell raporuna atıfta bulunarak, Maui fidye yazılımının (maui.exe) adı verilen bir şifreleme ikili dosyası olarak kurulan saldırısının, bir kuruluşun sistemindeki belirli dosyaları nasıl şifrelediğine ilişkin bir döküm sağladı.

Tehdit aktörleri, bir komut satırı arayüzü kullanarak, Gelişmiş Şifreleme Standardı (AES), RSA ve XOR şifreleme kombinasyonunu kullanarak hangi dosyaların şifreleneceğini belirlemek için fidye yazılımıyla etkileşime girer.

İlk olarak Maui, hedef dosyaları AES 128 bit şifrelemeyle şifreler ve her dosyaya benzersiz bir AES anahtarı atar. Her dosyada bulunan ve dosyanın orijinal yolunu içeren özel bir başlık, Maui'nin önceden şifrelenmiş dosyaları tanımlamasına olanak tanır. Araştırmacılar, başlığın aynı zamanda AES anahtarının şifrelenmiş kopyalarını da içerdiğini söyledi.

Maui, her AES anahtarını RSA şifrelemesiyle şifreler ve RSA genel (maui.key) ve özel (maui.evd) anahtarlarını kendisiyle aynı dizine yükler. Daha sonra, sabit sürücü bilgilerinden oluşturulan bir XOR anahtarıyla XOR şifrelemesini kullanarak RSA genel anahtarını (maui.key) kodlar.

Araştırmacılar, şifreleme sırasında Maui'nin GetTempFileNameW() kullanarak şifrelediği her dosya için geçici bir dosya oluşturduğunu ve bu dosyayı şifrelemeden çıktıyı hazırlamak için kullandığını söyledi. Maui, dosyaları şifreledikten sonra Maui yürütmesinden elde edilen çıktıları içeren maui.log'u oluşturur ve muhtemelen tehdit aktörleri tarafından dışarı sızdırılır ve ilgili şifre çözme araçları kullanılarak şifresi çözülür.

11 TEMMUZ PAZARTESİ günü yapılacak bu CANLI ETKİNLİK için Şimdi Kaydolun: Paydaşların dinamik bir tehdit ortamının önünde kalmasını sağlayan inovasyon ve Intel Security'nin Ponemon Institue ile ortaklaşa yaptığı son çalışmasından öğrendikleri hakkında canlı bir sohbette Threatpost ve Intel Security'den Tom Garrison'a katılın. Etkinlik katılımcıları teşvik edilir raporu önizleyin ve canlı tartışma sırasında sorular sorun. Daha fazla bilgi edinin ve buradan kaydolun.