朝鮮國家資助的網絡攻擊者使用 Maui Ransomware 攻擊醫療保健和公共衛生部門

概括

聯邦調查局 (FBI)、網絡安全和基礎設施安全局 (CISA) 和財政部 (Treasury) 正在發布這份聯合網絡安全咨詢 (CSA)，以提供有關毛伊島勒索軟件的信息，該軟件已被朝鮮使用至少從 2021 年 5 月開始，由國家資助的網絡參與者針對醫療保健和公共衛生 (HPH) 部門組織。

該聯合 CSA 提供有關從 FBI 事件響應活動和對 Maui 樣本的行業分析獲得的 Maui 勒索軟件的信息，包括策略、技術和程序 (TTP) 和危害指標 (IOC)。FBI、CISA 和財政部敦促 HPH 部門組織以及其他關鍵基礎設施組織應用本 CSA 的緩解部分中的建議，以降低勒索軟件操作受到威脅的可能性。Maui 勒索軟件的受害者應將事件報告給當地的 FBI 外地辦事處或 CISA。

FBI、CISA 和財政部強烈反對支付贖金，因為這樣做并不能保證文件和記錄會被恢復，并且可能會帶來制裁風險。注： 2021 年 9 月，財政部發布了更新的公告強調與勒索軟件支付相關的制裁風險以及公司可以采取的積極措施來減輕此類風險。具體而言，更新后的公告鼓勵美國實體采用和改進網絡安全實踐，并向執法部門報告勒索軟件攻擊并與執法部門充分合作。更新后的公告指出，當受影響的各方采取這些積極措施時，財政部外國資產控制辦公室 (OFAC) 將更有可能通過非公開執法響應來解決涉及勒索軟件攻擊的明顯制裁違規行為。

技術細節

自 2021 年 5 月以來，FBI 觀察并響應了 HPH 部門組織的多起 Maui 勒索軟件事件。朝鮮國家資助的網絡攻擊者在這些事件中使用 Maui 勒索軟件來加密負責醫療保健服務的服務器，包括電子健康記錄服務、診斷服務、成像服務和內部網服務。在某些情況下，這些事件會長時間中斷目標 HPH 部門組織提供的服務。這些事件的初始訪問向量是未知的。

毛伊島勒索軟件

Maui 勒索軟件 ( maui.exe) 是一種加密二進制文件。根據 Stairwell Threat Report: Maui Ransomware 中提供的 Maui 樣本（SHA256: 5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e）的行業分析，該勒索軟件似乎是為遠程操作者手動執行 [ TA0002 ] 而設計的。遠程參與者使用命令行界面 [ T1059.008 ] 與惡意軟件交互并識別要加密的文件。

Maui 使用高級加密標準 (AES)、RSA 和 XOR 加密的組合來加密 [ T1486 ] 目標文件：

Maui 使用 AES 128 位加密對目標文件進行加密。每個加密文件都有一個唯一的 AES 密鑰，每個文件都包含一個帶有文件原始路徑的自定義標頭，允許 Maui 識別以前加密的文件。標頭還包含 AES 密鑰的加密副本。
Maui 使用 RSA 加密對每個 AES 密鑰進行加密。

Maui 將 RSA 公鑰 ( maui.key) 和私鑰 ( maui.evd) 加載到與其自身相同的目錄中。

maui.keyMaui使用 XOR 加密對 RSA 公鑰 ( ) 進行編碼。XOR 密鑰是根據硬盤驅動器信息 ( \\.\PhysicalDrive0) 生成的。

在加密過程中，Maui 會為它使用的每個加密文件創建一個臨時文件GetTempFileNameW()。Maui 使用臨時來暫存加密的輸出。加密文件后，Maui 創建maui.log，其中包含 Maui 執行的輸出。參與者可能會潛入 [TA0010]maui.log并使用相關的解密工具解密文件。

妥協指標

有關自 2021 年 5 月以來從 FBI 事件響應活動中獲得的 Maui 勒索軟件 IOC，請參見表 1。

表 1：毛伊島勒索軟件 IOC

歸因于朝鮮國家支持的網絡行為者

聯邦調查局評估朝鮮國家支持的網絡攻擊者已經針對醫療保健和公共衛生部門組織部署了 Maui 勒索軟件。朝鮮國家支持的網絡攻擊者可能認為醫療保健組織愿意支付贖金，因為這些組織提供對人類生命和健康至關重要的服務。由于這一假設，聯邦調查局、中央情報局和財政部評估朝鮮國家支持的行為者可能會繼續針對 HPH 部門的組織。

緩解措施

FBI、CISA 和財政部敦促 HPH 部門組織：

通過部署公鑰基礎設施和數字證書來限制對數據的訪問，以驗證與網絡、物聯網 (IoT) 醫療設備和電子健康記錄系統的連接，并確保數據包在人類傳輸過程中不被操縱- 中間攻擊。
在內部系統上使用標準用戶帳戶而不是管理帳戶，這允許總體管理系統權限并且不確保最低權限。
為廣域網 (WAN) 關閉 Telnet、SSH、Winbox 和 HTTP 等網絡設備管理接口，并在啟用時使用強密碼和加密保護。
在收集點保護個人身份信息 (PII)/患者健康信息 (PHI)，并使用傳輸層安全 (TPS) 等技術對靜態和傳輸中的數據進行加密。僅將個人患者數據存儲在受防火墻保護的內部系統上，并確保在數據受到損害時可以進行大量備份。
通過在顯示時屏蔽永久帳號 (PAN) 并在存儲時使其不可讀（例如通過加密）來保護存儲的數據。
根據 1996 年健康保險流通與責任法案 (HIPAA) 等法規，保護 PII 和 PHI 的收集、存儲和處理實踐。實施 HIPAA 安全措施可以防止在系統中引入惡意軟件。
實施和實施多層網絡分段，最關鍵的通信和數據位于最安全和可靠的層上。
使用監控工具來觀察物聯網設備是否由于妥協而表現異常。
創建并定期審查規范 PII/PHI 的收集、存儲、訪問和監控的內部政策。

此外，FBI、CISA 和財政部敦促所有組織，包括 HPH 部門組織，采用以下建議來準備、減輕/預防和應對勒索軟件事件。

準備勒索軟件

維護數據的離線（即物理斷開）備份，并定期測試備份和恢復。這些做法可保護組織的運營連續性，或至少最大限度地減少勒索軟件事件造成的潛在停機時間并防止數據丟失。
確保所有備份數據都經過加密、不可變（即不能更改或刪除），并覆蓋整個組織的數據基礎設施。
創建、維護和執行基本的網絡事件響應計劃和相關的通信計劃，其中包括針對勒索軟件事件的響應程序。
組織還應確保其事件響應和溝通計劃包括數據泄露事件的響應和通知程序。確保通知程序遵守適用的州法律。
對于涉及電子健康信息的違規行為，您可能需要通知聯邦貿易委員會 (FTC) 或衛生與公眾服務部，在某些情況下還需要通知媒體。
請參閱 CISA-多州信息共享和分析中心 (MS-ISAC) 聯合勒索軟件指南和 CISA 情況說明書保護敏感和個人信息免受勒索軟件引起的數據泄露，了解有關創建勒索軟件響應清單以及規劃和響應勒索軟件引起的信息數據泄露。

緩解和預防勒索軟件

操作系統、軟件和固件的更新在發布后立即安裝。及時修補是組織可以采取的最有效和最具成本效益的步驟之一，以最大限度地減少其對網絡安全威脅的暴露。定期檢查軟件更新和生命周期結束通知，并優先修補已知被利用的漏洞。考慮利用集中式補丁管理系統來自動化和加快流程。
如果您使用遠程桌面協議 (RDP) 或其他可能存在風險的服務，請保護并密切監控它們。
限制通過內部網絡訪問資源，尤其是通過限制 RDP 和使用虛擬桌面基礎架構。在評估風險后，如果認為 RDP 在操作上是必要的，則限制原始來源，并要求多因素身份驗證 (MFA) 以減少憑證盜竊和重用。如果 RDP 必須在外部可用，請在允許 RDP 連接到內部設備之前，使用虛擬專用網絡 (VPN)、虛擬桌面基礎架構或其他方式對連接進行身份驗證和保護。監控遠程訪問/RDP 日志，在指定次數的嘗試阻止暴力攻擊活動后強制帳戶鎖定，記錄 RDP 登錄嘗試，并禁用未使用的遠程訪問/RDP 端口。
確保設備配置正確并啟用安全功能。禁用未用于業務目的的端口和協議（例如，RDP 傳輸控制協議端口3389）。
將網絡中的服務器消息塊 (SMB) 協議限制為僅訪問必要的服務器并刪除或禁用 SMB 的過時版本（即 SMB 版本 1）。威脅參與者使用 SMB 在組織之間傳播惡意軟件。
查看第三方供應商以及與您的組織互連的供應商的安全狀況。確保監控和審查第三方供應商與外部軟件或硬件之間的所有連接是否存在可疑活動。
為應用程序和遠程訪問實施列表策略，僅允許系統在已建立的情況下執行已知和允許的程序。
以受保護的查看模式打開文檔閱讀器，以幫助防止運行活動內容。
實施用戶培訓計劃和網絡釣魚練習，以提高用戶對訪問可疑網站、點擊可疑鏈接和打開可疑附件的風險的認識。加強對網絡釣魚和魚叉式網絡釣魚電子郵件的適當用戶響應。
盡可能多的服務需要 MFA ，尤其是 webmail、VPN、訪問關鍵系統的帳戶以及管理備份的特權帳戶。
使用強密碼并避免為多個帳戶重復使用密碼。
需要管理員憑據才能安裝軟件。
審核具有管理或提升權限的用戶帳戶，并以最低權限配置訪問控制。
在所有主機上安裝并定期更新防病毒和反惡意軟件。
僅使用安全網絡，避免使用公共 Wi-Fi 網絡。考慮安裝和使用 VPN。
考慮為來自組織外部的消息添加電子郵件橫幅。
禁用收到的電子郵件中的超鏈接。

應對勒索軟件事件

如果您的組織發生勒索軟件事件：

遵循您組織的勒索軟件響應清單（請參閱準備勒索軟件部分）。
掃描備份。如果可能，請使用防病毒程序掃描備份數據以檢查它是否沒有惡意軟件。這應該使用一個隔離的、受信任的系統來執行，以避免將備份暴露在潛在的危害之下。
遵循網絡事件響應計劃中概述的通知要求。
向當地 FBI 外地辦事處的 FBI、 us-cert.cisa.gov /report 上的CISA或USSS 外地辦事處的美國特勤局 (USSS)報告事件。
應用由 CISA 和澳大利亞、加拿大、新西蘭和英國的網絡安全當局共同開發的網絡安全咨詢、發現和補救惡意活動的技術方法中發現的事件響應最佳實踐。

注意： FBI、CISA 和財政部強烈反對支付贖金，因為這樣做并不能保證文件和記錄會被恢復，并且可能會帶來制裁風險。

索取資料

FBI 正在尋找任何可以共享的信息，包括顯示與外國 IP 地址之間的通信的邊界日志、比特幣錢包信息、解密文件和/或加密文件的良性樣本。如上所述，聯邦調查局不鼓勵支付贖金。付款并不能保證文件將被恢復，并且可能會鼓勵對手針對其他組織、鼓勵其他犯罪分子參與分發勒索軟件和/或資助非法活動。然而，聯邦調查局了解，當受害者面臨無法運作時，所有選項都經過評估，以保護股東、員工和客戶。無論您或您的組織是否已決定支付贖金，FBI、CISA 和財政部都敦促您及時向 FBI 報告勒索軟件事件。當地的 FBI 外地辦事處、us-cert.cisa.gov /report 上的 CISA或USSS 外地辦事處的 USSS 。這樣做為美國政府提供了防止未來攻擊所需的關鍵信息，方法是識別和跟蹤勒索軟件行為者并根據美國法律追究他們的責任。

資源

有關防范和響應勒索軟件的更多信息和資源，請參閱StopRansomware.gov，這是一個集中的美國政府整體網頁，提供勒索軟件資源和警報。
CISA 的勒索軟件準備情況評估是一項免費的自我評估，基于一套分層實踐，可幫助組織更好地評估他們在防御勒索軟件事件和從勒索軟件事件中恢復的能力。
幫助組織減輕勒索軟件攻擊并提供勒索軟件響應清單的指南：CISA-多州信息共享和分析中心 (MS-ISAC) 聯合勒索軟件指南。
美國國務院的司法獎勵 (RFJ) 計劃為外國政府針對美國關鍵基礎設施的惡意活動的報告提供高達 1000 萬美元的獎勵。

致謝

FBI、CISA 和財政部要感謝 Stairwell 對 CSA 的貢獻。

文章轉自：CYBERSECURITY&INFRASTRUCTURE SECURITY AGENCY