In einer neuen gemeinsamen Cybersecurity-Beratung haben die US-Cybersecurity- und Geheimdienste vor dem Einsatz der Ransomware Maui durch von der nordkoreanischen Regierung unterstützte Hacker gewarnt, die seit mindestens Mai 2021 den Gesundheitssektor angreifen.
„Nordkoreanische Cyber-Akteure nutzten Maui Ransomware bei diesen Vorfällen, um Server zu verschlüsseln, die für Gesundheitsdienste zuständig sind – einschließlich elektronischer Gesundheitsakten, Diagnosedienste, Bildgebungsdienste und Intranetdienste“, so die Behörden.
Die Warnung kommt mit freundlicher Genehmigung der U.S. Cybersecurity and Infrastructure Security Agency (CISA), des Federal Bureau of Investigation (FBI) und des Finanzministeriums.
Die Cybersecurity-Firma Stairwell, auf deren Erkenntnissen die Warnung basiert, erklärte, dass die weniger bekannte Ransomware-Familie sich durch das Fehlen mehrerer wichtiger Merkmale auszeichnet, die üblicherweise mit Ransomware-as-a-Service (RaaS)-Gruppen in Verbindung gebracht werden.
Dazu gehört das Fehlen einer „eingebetteten Lösegeld-Notiz, die Anweisungen zur Wiederherstellung enthält, oder einer automatischen Methode zur Übermittlung von Verschlüsselungsschlüsseln an die Angreifer“, so der Sicherheitsforscher Silas Cutler in einem technischen Überblick über die Ransomware.
Die Analyse der Maui-Samples deutet darauf hin, dass die Malware für die manuelle Ausführung durch einen entfernten Akteur über eine Befehlszeilenschnittstelle konzipiert ist, mit der bestimmte Dateien auf dem infizierten Computer verschlüsselt werden können.
Neben der Verschlüsselung der Zieldateien mit AES 128-Bit-Verschlüsselung mit einem eindeutigen Schlüssel wird jeder dieser Schlüssel wiederum mit RSA verschlüsselt, wobei ein Schlüsselpaar verwendet wird, das bei der ersten Ausführung von Maui erzeugt wird. Als dritte Sicherheitsebene werden die RSA-Schlüssel mit einem fest codierten öffentlichen RSA-Schlüssel verschlüsselt, der für jede Kampagne einzigartig ist.
Was Maui von anderen traditionellen Ransomware-Angeboten unterscheidet, ist die Tatsache, dass es nicht als Service für andere Partner angeboten wird, die es gegen eine Gewinnbeteiligung nutzen können.
In einigen Fällen sollen die Ransomware-Vorfälle die Gesundheitsdienste für längere Zeit unterbrochen haben. Der ursprüngliche Infektionsvektor, über den die Angriffe erfolgten, ist noch nicht bekannt.
Bemerkenswert ist, dass die Kampagne auf die Bereitschaft der Gesundheitseinrichtungen setzt, Lösegeld zu zahlen, um sich schnell von einem Angriff zu erholen und den ununterbrochenen Zugang zu wichtigen Diensten zu gewährleisten. Dies ist das jüngste Anzeichen dafür, dass die nordkoreanischen Gegner ihre Taktik anpassen, um illegal einen konstanten Strom von Einnahmen für das klamme Land zu generieren.
Laut dem Sophos-Bericht „State of Ransomware in Healthcare 2022“ haben sich 61% der befragten Gesundheitsunternehmen für eine Lösegeldzahlung entschieden, verglichen mit dem weltweiten Durchschnitt von 46%. 2021 erhielten nur 2% der Unternehmen, die das Lösegeld bezahlt haben, ihre Daten vollständig zurück.
Die Verwendung einer manuell gesteuerten Ransomware-Familie durch eine APT-Gruppe wirft jedoch auch die Möglichkeit auf, dass es sich um eine Ablenkungstaktik handeln könnte, die als Deckmantel für andere bösartige Motive dienen soll, wie kürzlich im Fall von Bronze Starlight beobachtet.
„Ransomware-Angriffe, die von Staaten gesponsert werden, sind zu typischen internationalen Angriffshandlungen geworden“, sagte Peter Martini, Mitbegründer von iboss, in einer Erklärung. „Leider hat gerade Nordkorea gezeigt, dass es bereit ist, wahllos verschiedene Branchen, einschließlich des Gesundheitswesens, ins Visier zu nehmen, um sich unauffindbare Kryptowährung zu sichern, mit der es sein Atomwaffenprogramm finanziert.“