0
0
O FBI, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Departamento do Tesouro alertaram na quarta-feira sobre os atores de ameaças patrocinados pelo estado norte-coreano que visam organizações nos setores de saúde e saúde pública dos EUA. Os ataques estão sendo realizados com uma nova ferramenta de ransomware um tanto incomum e operada manualmente chamada “Maui”.
Desde maio de 2021, houve vários incidentes em que os atores de ameaças que operam o malware criptografam servidores responsáveis por serviços críticos de saúde, incluindo serviços de diagnóstico, servidores de registros eletrônicos de saúde e servidores de imagem em organizações nos setores-alvo. Em alguns casos, os ataques de Maui interromperam os serviços nas organizações de vítimas por um período prolongado, disseram as três agências em um aviso.
“Os atores cibernéticos patrocinados pelo estado norte da Coreia provavelmente assumem que as organizações de saúde estão dispostas a pagar resgates porque essas organizações fornecem serviços críticos para a vida e a saúde humanas”, de acordo com o conselho. “Por causa dessa suposição, o FBI, a CISA e o Tesouro avaliam que os atores patrocinados pelo estado norte-coreano provavelmente continuarão visando as organizações do setor [de saúde e saúde pública].
Projetado para Operação Manual
Em uma análise técnica em 6 de julho, a empresa de segurança Stairwell descreveu Maui como ransomware que é notável pela falta de recursos que estão comumente presentes em outras ferramentas de ransomware. Maui, por exemplo, não tem a habitual nota de ransomware incorporada com informações para as vítimas sobre como recuperar seus dados. Ele também não parece ter nenhuma funcionalidade integrada para transmitir chaves de criptografia para os hackers de forma automatizada.
Em vez disso, o malware aparece projetado para execução manual, onde um invasor remoto interage com Maui através da interface de linha de comando e instrui-o a criptografar os arquivos selecionados na máquina infectada e exfiltrar as chaves de volta para o invasor.
Stairwell disse que seus pesquisadores observaram Maui criptografando arquivos usando uma combinação dos esquemas de criptografia AES, RSA e XOR. Cada arquivo selecionado é primeiro criptografado usando AES com uma chave exclusiva de 16 bytes. Em seguida, Maui criptografa cada chave AES resultante com criptografia RSA e, em seguida, criptografa a chave pública RSA com XOR. A chave privada RSA é codificada usando uma chave pública incorporada no próprio malware.
Silas Cutler, engenheiro reverso principal da Stairwell, diz que o design do fluxo de trabalho de criptografia de arquivos da Maui é bastante consistente com outras famílias modernas de ransomware. O que é realmente diferente é a ausência de uma nota de resgate.
“A falta de uma nota de resgate incorporada com instruções de recuperação é um atributo fundamental que falta que o diferencia de outras famílias de ransomware”, diz Cutler. “As notas de ransomware se tornaram cartões de visita para alguns dos grandes grupos de ransomware [e são] às vezes estampadas com sua própria marca.” Ele diz que Stairwell ainda está investigando como o ator de ameaças está se comunicando com as vítimas e exatamente quais demandas estão sendo feitas.
Pesquisadores de segurança dizem que há várias razões pelas quais o ator de ameaças pode ter decidido seguir a rota manual com Maui. Tim McGuffin, diretor de engenharia de adversários da Lares Consulting, diz que o malware operado manualmente tem uma chance melhor de evitar ferramentas modernas de proteção de terminais e arquivos canários em comparação com o ransomware automatizado em todo o sistema.
“Ao segmentar arquivos específicos, os atacantes podem escolher o que é sensível e o que exfiltrar de uma maneira muito mais tática quando comparado a um ransomware ‘pulverizador e orar'”, diz McGuffin. “Isso 100% fornece uma abordagem furtiva e cirúrgica ao ransomware, impedindo que os defensores alertem sobre ransomware automatizado e dificultando o uso de abordagens baseadas em tempo ou comportamento para detecção ou resposta.”
Do ponto de vista técnico, Maui não utiliza nenhum meio sofisticado para evitar a detecção, diz Cutler. O que poderia torná-lo adicionalmente problemático para a detecção é o seu perfil baixo.
“A falta da teatralidade comum de ransomware — [como] notas de resgate [e] mudança de planos de fundo do usuário — pode fazer com que os usuários não estejam imediatamente cientes de que seus arquivos foram criptografados”, diz ele.
Maui é um arenque vermelho?
Aaron Turner, CTO da Vectra, diz que o uso de Maui por parte do ator de ameaça de maneira manual e seletiva pode ser uma indicação de que há outros motivos por trás da campanha além do ganho financeiro. Se a Coreia do Norte realmente está patrocinando esses ataques, é concebível que o ransomware seja apenas uma reflexão tardia e que os verdadeiros motivos estejam em outro lugar.
Especificamente, é mais provável que seja uma combinação de roubo de propriedade intelectual ou espionagem industrial combinada com a monetização oportunista de ataques com ransomware.
“Na minha opinião, esse uso de criptografia seletiva orientada pelo operador é provavelmente um indicador de que a campanha Maui não é apenas uma atividade de ransomware”, diz Turner.
Os operadores de Maui certamente não seriam os primeiros a usar ransomware como cobertura para roubo de IP e outras atividades. O exemplo mais recente de outro atacante fazendo o mesmo é o Bronze Starlight, com sede na China, que, de acordo com a Secureworks, parece estar usando ransomware como cobertura para extenso roubo de IP patrocinado pelo governo e espionagem cibernética.
Os pesquisadores dizem que, para se proteger, as organizações de saúde devem investir em uma estratégia de backup sólida. A estratégia deve incluir testes de recuperação frequentes, pelo menos mensais, para garantir que os backups sejam viáveis, de acordo com Avishai Avivi, CISO da SafeBreach
“As organizações de saúde também devem tomar todas as precauções para segmentar suas redes e isolar ambientes para evitar a propagação lateral de ransomware”, observa Avivi em um e-mail. “Essas etapas básicas de higiene cibernética são uma rota muito melhor para as organizações que se preparam para um ataque de ransomware [do que armazenar Bitcoins para pagar um resgate]. Ainda vemos que as organizações não conseguem tomar as etapas básicas mencionadas. … Isso, infelizmente, significa que quando (não se) o ransomware passar de seus controles de segurança, eles não terão um backup adequado e o software malicioso poderá se espalhar lateralmente pelas redes da organização.”
A Stairwell também lançou regras e ferramentas YARA que outros podem usar para desenvolver detecções para o ransomware Maui.
FONTE: DARK READING