FBI, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Hazine Bakanlığı Çarşamba günü, ABD sağlık ve halk sağlığı sektörlerindeki kuruluşları hedef alan Kuzey Kore devlet destekli tehdit aktörleri hakkında uyardı. Saldırılar, “Maui” adı verilen alışılmadık, elle çalıştırılan yeni bir fidye yazılımı aracıyla gerçekleştiriliyor.
Mayıs 2021’den bu yana, kötü amaçlı yazılımı çalıştıran tehdit aktörlerinin, teşhis hizmetleri, elektronik sağlık kayıtları sunucuları ve hedeflenen sektörlerdeki kuruluşlardaki görüntüleme sunucuları dahil olmak üzere kritik sağlık hizmetlerinden sorumlu sunucuları şifrelediği çok sayıda olay yaşandı. Üç kurumun bir danışma belgesinde, bazı durumlarda Maui saldırılarının mağdur kuruluşlardaki hizmetleri uzun süre aksattığı belirtildi.
Tavsiyeye göre, “Kuzey Kore devlet destekli siber aktörler, sağlık kuruluşlarının insan yaşamı ve sağlığı için kritik öneme sahip hizmetler sunduğu için muhtemelen fidye ödemeye istekli olduğunu varsayıyor”. “Bu varsayım nedeniyle, FBI, CISA ve Hazine, Kuzey Kore devlet destekli aktörleri değerlendirdi hedeflemeye devam etmesi muhtemeldir. [healthcare and public health] Sektör kuruluşları.”
Manuel Çalıştırma için Tasarlandı
Güvenlik firması Stairwell, 6 Temmuz’da yaptığı teknik bir analizde Maui’yi, diğer fidye yazılımı araçlarında yaygın olarak bulunan eksik özellikler nedeniyle dikkate değer bir fidye yazılımı olarak tanımladı. Örneğin Maui, kurbanlar için verilerini nasıl kurtaracaklarına ilişkin bilgileri içeren olağan gömülü fidye yazılımı notuna sahip değil. Ayrıca, şifreleme anahtarlarını bilgisayar korsanlarına otomatik olarak iletmek için herhangi bir yerleşik işlevselliğe sahip görünmüyor.
Bunun yerine kötü amaçlı yazılım manuel yürütme için tasarlanmış görünüyorburada uzaktaki bir saldırgan komut satırı arabirimi aracılığıyla Maui ile etkileşime girer ve ona virüslü makinedeki seçili dosyaları şifrelemesini ve anahtarları saldırgana geri sızdırmasını söyler.
Stairwell, araştırmacılarının Maui’nin AES, RSA ve XOR şifreleme şemalarının bir kombinasyonunu kullanarak dosyaları şifrelediğini gözlemlediğini söyledi. Seçilen her dosya, önce benzersiz bir 16 baytlık anahtarla AES kullanılarak şifrelenir. Maui daha sonra ortaya çıkan her AES anahtarını RSA şifrelemesiyle şifreler ve ardından RSA genel anahtarını XOR ile şifreler. RSA özel anahtarı, kötü amaçlı yazılımın kendisine gömülü bir genel anahtar kullanılarak kodlanır.
Stairwell’de baş ters mühendis olan Silas Cutler, Maui’nin dosya şifreleme iş akışının tasarımının diğer modern fidye yazılımı aileleriyle oldukça tutarlı olduğunu söylüyor. Gerçekten farklı olan, bir fidye notunun olmaması.
Cutler, “Kurtarma talimatlarıyla birlikte gömülü bir fidye notunun olmaması, onu diğer fidye yazılımı ailelerinden ayıran önemli bir eksik özelliktir” diyor. “Fidye notları, bazı büyük fidye yazılımı grupları için arama kartları haline geldi. [and are] bazen kendi markalarıyla süslenir.” Stairwell’in hala tehdit aktörünün kurbanlarla nasıl iletişim kurduğunu ve tam olarak hangi taleplerin yapıldığını araştırdığını söylüyor.
Güvenlik araştırmacıları, tehdit aktörünün Maui ile manuel rotaya gitmeye karar vermesinin birkaç nedeni olduğunu söylüyor. Lares Consulting’de rekabet mühendisliği direktörü Tim McGuffin, manuel olarak çalıştırılan kötü amaçlı yazılımların, otomatikleştirilmiş, sistem çapında fidye yazılımlarına kıyasla modern uç nokta koruma araçlarından ve kanarya dosyalarından kaçma şansının daha yüksek olduğunu söylüyor.
McGuffin, “Saldırganlar, belirli dosyaları hedefleyerek, neyin hassas olduğunu ve neyin sızdırılacağını, ‘püskürt ve dua et’ fidye yazılımına kıyasla çok daha taktik bir şekilde seçebiliyorlar” diyor. “Bu %100, fidye yazılımlarına karşı gizli ve cerrahi bir yaklaşım sağlayarak, savunucuların otomatikleştirilmiş fidye yazılımları konusunda uyarı vermesini engeller ve tespit veya müdahale için zamanlama veya davranışa dayalı yaklaşımların kullanılmasını zorlaştırır.”
Cutler, teknik açıdan bakıldığında, Maui’nin tespitten kaçınmak için herhangi bir karmaşık yöntem kullanmadığını söylüyor. Algılama için ek olarak sorunlu hale getirebilecek şey, düşük profilidir.
“Yaygın fidye yazılımı tiyatrosunun eksikliği — [such as] fidye notları [and] kullanıcı arka planlarını değiştirmek – kullanıcıların dosyalarının şifrelendiğini hemen fark etmemesine neden olabilir” diyor.
Maui bir Kırmızı Ringa mı?
Vectra’nın CTO’su Aaron Turner, tehdit aktörünün Maui’yi manuel ve seçici bir şekilde kullanmasının, kampanyanın arkasında sadece finansal kazançtan başka sebeplerin olduğunun bir göstergesi olabileceğini söylüyor. Kuzey Kore bu saldırılara gerçekten sponsor oluyorsa, fidye yazılımlarının sonradan akla geldiği ve asıl amaçların başka yerde yattığı düşünülebilir.
Spesifik olarak, büyük olasılıkla fikri mülkiyet hırsızlığı veya endüstriyel casusluğun, fidye yazılımıyla saldırılardan fırsatçı para kazanma ile birleştirilmesidir.
Turner, “Bence, operatör güdümlü seçici şifrelemenin bu kullanımı, büyük olasılıkla Maui kampanyasının yalnızca bir fidye yazılımı etkinliği olmadığının bir göstergesidir” diyor.
Maui operatörleri, IP hırsızlığı ve diğer faaliyetler için fidye yazılımını açık ara kullanan ilk kişiler olmayacağı kesin. Aynı şeyi yapan başka bir saldırganın en son örneği, Secureworks’e göre fidye yazılımını devlet destekli kapsamlı IP hırsızlığı ve siber casusluk için kapak olarak kullanan Çin merkezli Bronze Starlight’tır.
Araştırmacılar, kendilerini korumak için sağlık kuruluşlarının sağlam bir yedekleme stratejisine yatırım yapması gerektiğini söylüyor. SafeBreach CISO’su Avishai Avivi’ye göre strateji, yedeklemelerin uygulanabilir olduğundan emin olmak için sık sık, en az ayda bir kez kurtarma testi içermelidir.
Avivi, bir e-postada, “Sağlık kuruluşları, fidye yazılımlarının yanal yayılmasını önlemek için ağlarını bölümlere ayırmak ve ortamları izole etmek için tüm önlemleri almalıdır” dedi. “Bu temel siber hijyen adımları, fidye yazılımı saldırısına hazırlanan kuruluşlar için çok daha iyi bir yoldur. [than stockpiling Bitcoins to pay a ransom]. Kuruluşların halen bahsedilen temel adımları atmakta başarısız olduklarını görüyoruz. … Bu, ne yazık ki, fidye yazılımı (eğer değilse) güvenlik kontrollerini geçtiğinde, uygun bir yedeklemeye sahip olmayacakları ve kötü amaçlı yazılımın kuruluşun ağları üzerinden yanlamasına yayılabileceği anlamına geliyor.”
Stairwell ayrıca, diğerlerinin Maui fidye yazılımı için tespitler geliştirmek için kullanabileceği YARA kurallarını ve araçlarını da yayınladı.