Múltiplas agências governamentais norte-americanas têm advertido organizações de saúde sobre o risco de serem alvo de ações de hackers patrocinadas pelo Estado da Coreia do Norte, usando um ransomware exclusivo que tem o objetivo de atingir arquivos com precisão específica, segundo as autoridades federais dos EUA.
Atores ameaçadores da Coreia do Norte têm empregado o Maui ransomware para atacar organizações no setor de saúde e saúde pública desde pelo menos maio de 2021, de acordo com uma declaração conjunta emitida na quarta-feira pelo Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) e o Departamento do Tesouro (Tesouro).
Organizações precisam buscar por sinais de comprometimento e, ao mesmo tempo, tomar medidas para prevenir tais ataques, conforme orientações federais.
Além disso, se as organizações forem vítimas de algum ataque, as agências aconselham a não pagar qualquer quantia pedida em resgate, pois isso não garante a recuperação dos dados e pode resultar em sanções.
Somente ransomware que não requer pagamento de resgate.
Maui, segundo um relatório de segurança cibernética da Stairwell, tem sido ativo desde abril de 2021, e possui alguns traços únicos que o separam das outras ameaças de Ransomware-as-a-Service que estão circulando.
Maui se destacou como uma exceção para nós devido à ausência de muitas das funcionalidades que geralmente vemos em plataformas de serviços de fornecedores, afirmou Silas Cutler, Engenheiro Líder de Inversão da Stairwell, no relatório.
Não existe nenhuma credencial de recuperação para oferecer diretrizes de recuperação ou processos automatizados para distribuir chaves de criptografia aos invasores, ele informou.
Uma peculiar característica antiga dá aos ataques de Maui um ar particularmente sinistro, afirmou um especialista em segurança.
James McQuiggan, defensor da consciência de segurança da empresa de segurança KnowBe4, disse ao Threatpost que os criminosos cibernéticos querem ser pagos rapidamente e eficientemente, com pouca informação para a vítima, e que os ataques estão cada vez mais maliciosos.
Exatidão cirúrgica
Uma diferença entre Maui e outros tipos de ransomware é que parece ser desenvolvido para ser operado manualmente por um ator de ameaça, permitindo que eles “selecionem os arquivos a serem criptografados quando o código for executado e, em seguida, excluam os resultados da execução”, de acordo com Cutler.
Isso indica que a ação manual está se tornando mais comum entre os operadores avançados de malware, uma vez que isso lhes dá a oportunidade de selecionar os ativos mais relevantes em uma rede, de acordo com um especialista em segurança.
De acordo com John Bambenek, principal caçador de ameaças da Netenrich, empresa de serviços de análise de segurança e operações SaaS, ataques ransomware verdadeiramente organizacionais exigem que os atores de ameaças identifiquem manualmente os ativos importantes e os pontos fracos para realmente desestabilizar uma vítima. Ele afirmou ainda que, as ferramentas automatizadas não conseguem reconhecer todos os detalhes únicos de cada corporação, que seriam necessários para uma retirada completa.
Ao exibir arquivos específicos para serem criptografados, os atacantes têm mais influência sobre o ataque e a vítima terá menos trabalho para limpar as consequências, segundo Tim McGuffin, diretor de Engenharia Adversária da LARES Consulting, empresa de segurança da informação.
Os atacantes estão optando por segmentar arquivos específicos ao invés de usar um ransomware de ação indiscriminada, explicou ele. Isto permite que eles selecionem os arquivos importantes e os exportem de forma mais inteligente. Esta abordagem pode indicar boa-fé do grupo de ransomware, pois a segmentação dos arquivos permite que apenas os dados confidenciais sejam recuperados, sem a necessidade de reconstruir todo o servidor caso os arquivos do sistema operacional também sejam criptografados.
A saúde está sob ataque contínuo.
A saúde tem-se tornado alvo de uma série de assaltos, especialmente durante os últimos dois anos e meio, desde que a pandemia COVID-19 começou. Especialistas afirmam que há diversas razões pelas quais o setor permanece como um destino atraente para os perpetradores de ataques.
Uma indústria financeiramente lucrativa que não tem sistemas de TI seguros coloca as organizações de saúde em uma posição vulnerável a ataques cibernéticos, segundo um especialista em segurança.
McQuiggan, da KnowBe4, observou que, devido ao grande orçamento operacional e às diretrizes federais dos EUA, o cuidado de saúde está sempre direcionado e impede a atualização rápida dos sistemas.
Além disso, os atentados às agências de saúde podem pôr em risco a saúde e a vida das pessoas, o que pode levar as organizações desse setor a pagar os pedidos de resgate dos criminosos de forma imediata, segundo os especialistas.
As organizações de saúde tendem a pagar rapidamente e facilmente quaisquer exigências de extorsão que possam surgir em virtude de ransomware, devido à necessidade de restaurar as operações o mais cedo possível, de acordo com Chris Clements, Vice-Presidente de Arquitetura de Soluções na empresa de cibersegurança Cerberus Sentinel, em um e-mail para Threatpost.
O FBI, a CISA e o Tesouro advertem que o setor continuará a ser alvo de ataques de hackers patrocinados pelo governo da Coreia do Norte.
As informações relacionadas à saúde são extremamente preciosas para organizações maliciosas, já que são de caráter íntimo e sigiloso, o que possibilita a sua comercialização no mercado negro virtual. Conforme destacou Clements, também são úteis para construir “ataques de engenharia social altamente personalizados”.
Sucessão de ataque
Segundo o relatório Stairwell, as agências federais indicaram que um ataque Maui ransomware foi realizado quando um binário de criptografia, denominado “maui.exe”, foi instalado para cifrar arquivos específicos no sistema de uma organização.
Interagindo através de uma interface de linha de comando, os atores de ameaça se comunicam com o ransomware para determinar quais arquivos criptografar, empregando uma combinação de Advanced Encryption Standard (AES), RSA e XOR criptografia.
Inicialmente, Maui aplica criptografia AES de 128 bits a arquivos alvo, conferindo cada um com uma chave AES exclusiva. Um cabeçalho adaptado incluído em cada arquivo, contendo o caminho original, possibilita a identificação de dados criptografados previamente. Esses cabeçalhos também contêm réplicas criptografadas da chave AES, conforme explicado pelos pesquisadores.
Maui cifra cada chave AES com criptografia RSA e armazena o RSA público (maui.key) e as chaves privadas (maui.evd) no mesmo diretório. Então, codifica a chave RSA pública (maui.key) usando criptografia XOR com uma chave XOR criada a partir de detalhes do disco rígido.
Durante o processo de criptografia, os pesquisadores mencionaram que Maui cria um arquivo temporário individual para cada arquivo a ser criptografado usando GetTempFileNameW(), e usa-o como meio de produzir a saída da criptografia. Ao concluir a criptografia dos arquivos, Maui produz o arquivo “maui.log”, que contém os resultados da execução de Maui e provavelmente será roubado por atores de ameaça, e posteriormente descriptografado usando as ferramentas apropriadas.
Registre-se agora para o EVENTO AO VIVO no MONDAY 11 DE JULHO: Junte-se a Threatpost e Tom Garrison da Intel Security para uma conversa sobre inovação, ajudando as partes interessadas a se manterem à frente de uma paisagem de ameaças em rápida mudança e o que a Intel Security aprendeu com seu último estudo em parceria com a Ponemon Institute. Estimulamos os participantes a visualizarem o relatório e fazerem perguntas durante a discussão ao vivo. Saiba mais e inscreva-se aqui.
Mande esse artigo para outras pessoas.
- O Governo Federal anunciou recentemente novas medidas com o objetivo de combater o coronavírus.
- Uma forma de software maléfica, o malware pode ser usado para acessar informações sigilosas.
