En un nuevo aviso conjunto de ciberseguridad, las agencias de ciberseguridad e inteligencia de EE. UU. advirtieron sobre el uso del ransomware Maui por parte de piratas informáticos respaldados por el gobierno de Corea del Norte para apuntar al sector de la salud desde al menos mayo de 2021.
«Los ciberactores patrocinados por el estado de Corea del Norte utilizaron el ransomware Maui en estos incidentes para cifrar los servidores responsables de los servicios de atención médica, incluidos los servicios de registros médicos electrónicos, los servicios de diagnóstico, los servicios de imágenes y los servicios de intranet», dijeron las autoridades. señalado.
los alerta es cortesía de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento del Tesoro.
La firma de seguridad cibernética Stairwell, cuyos hallazgos formaron la base del aviso, dijo que la familia de ransomware menos conocida se destaca debido a la falta de varias características clave comúnmente asociadas con los grupos de ransomware como servicio (RaaS).
Esto incluye la ausencia de una «nota de rescate incrustada para proporcionar instrucciones de recuperación o medios automatizados para transmitir claves de cifrado a los atacantes», dijo el investigador de seguridad Silas Cutler. dijo en una descripción técnica del ransomware.
En cambio, el análisis de las muestras de Maui sugiere que el malware está diseñado para que un actor remoto lo ejecute manualmente a través de una interfaz de línea de comandos, usándolo para apuntar a archivos específicos en la máquina infectada para el cifrado.
Además de cifrar los archivos de destino con cifrado AES de 128 bits con una clave única, cada una de estas claves, a su vez, se cifra con RSA utilizando un par de claves generado la primera vez que se ejecuta Maui. Como tercera capa de seguridad, las claves RSA se cifran mediante una clave pública RSA codificada que es única para cada campaña.
Lo que distingue a Maui de otras ofertas tradicionales de ransomware es también el hecho de que no se ofrece como un servicio a otros afiliados para su uso a cambio de una parte de las ganancias monetarias.
En algunos casos, se dice que los incidentes de ransomware han interrumpido los servicios de salud durante largos períodos de tiempo. El vector de infección inicial utilizado para realizar las intrusiones aún se desconoce.
Vale la pena señalar que la campaña se basa en la disposición de las entidades de atención médica a pagar rescates para recuperarse rápidamente de un ataque y garantizar el acceso ininterrumpido a los servicios críticos. Es el último indicio de cómo los adversarios de Corea del Norte están adaptando sus tácticas para generar ilegalmente un flujo constante de ingresos para la nación con problemas de liquidez.
Según los Sophos Estado del ransomware en el cuidado de la salud 2022 Según el informe, el 61 % de las organizaciones de atención médica encuestadas optaron por llegar a un acuerdo en comparación con el promedio mundial del 46 %, y solo el 2 % de las que pagaron el rescate en 2021 recuperaron sus datos completos.
Dicho esto, el uso de una familia de ransomware operado manualmente por un grupo APT también plantea la posibilidad de que la operación podría ser una táctica de distracción diseñada para actuar como una tapadera para otros motivos maliciosos, como se observó recientemente en el caso de Bronze Starlight.
«Los ataques de ransomware patrocinados por el estado de la nación se han convertido en típicos actos internacionales de agresión», dijo Peter Martini, cofundador de iboss, en un comunicado. «Desafortunadamente, Corea del Norte ha demostrado específicamente que está muy dispuesta a apuntar indiscriminadamente a varias industrias, incluida la atención médica, para asegurar una criptomoneda imposible de rastrear que está financiando su programa de armas nucleares».