Maui-Ransomware-Erkennung: Neue Bedrohung für den US-amerikanischen Gesundheits- und öffentlichen Gesundheitssektor
Inhaltsverzeichnis:
Bereiten Sie sich auf die neue Ransomware-Bedrohung vor! Am 6. Juli 2022 haben das FBI, CISA und das Finanzministerium eine gemeinsame Cybersecurity Advisory (CSA) veröffentlicht, um vor der Maui-Ransomware zu warnen, die aktiv von der nordkoreanischen APT-Gruppe genutzt wird, um Organisationen im US-amerikanischen Gesundheits- und öffentlichen Gesundheitssektor anzugreifen. Die Angriffe wurden seit mindestens Mai 2021 beobachtet und stellen aufgrund der ungewöhnlichen Routine eine zunehmende Bedrohung für Organisationen dar. Insbesondere scheint Maui manuell bedient zu werden, um Dateien zur Verschlüsselung auszuwählen und enthält keine eingebettete Lösegeldforderung, um Wiederherstellungsanweisungen bereitzustellen. a joint Cybersecurity Advisory (CSA) to warn about Maui ransomware actively leveraged by the North Korean APT group to target organizations in the U.S. healthcare and public health sectors. The attacks have been observed since at least May 2021 posing an increasing menace to organizations due to the unusual routine. Particularly, Maui seems to be manually operated to choose files for encryption and lacks an embedded ransom note to provide recovery instructions.
Maui Ransomware erkennen
Cybersecurity-Experten suchen kontinuierlich nach Möglichkeiten, um proaktiv gegen neue Bedrohungen zu verteidigen und mit der sich ständig ändernden Bedrohungslandschaft Schritt zu halten. Um Organisationen dabei zu unterstützen, die bösartigen Aktivitäten der vom nordkoreanischen Staat unterstützten APT-Gruppe, die Maui-Ransomware nutzt, rechtzeitig zu erkennen, kuratiert SOC Primes Detection as Code-Plattform eine neue Sigma-Regel entwickelt von unserem produktiven Threat Bounty Programm-Entwickler Nattatorn Chuensangarun. Folgen Sie dem untenstehenden Link, um nach der Anmeldung oder Anmeldung in die SOC Prime-Plattform sofort Zugriff auf die dedizierte Compliance-basierte Sigma-Regel zu erhalten:
Fortschrittliche Bedrohungsjäger und Detection Engineers, die die Kraft von SOC Primes Initiative nutzen möchten, sind willkommen, sich dem Threat Bounty Program anzuschließen und ihre eigenen Erkennungsinhalte beizutragen, während sie die kollektive Cybersecurity-Expertise bereichern und ihren Beitrag monetarisieren.
Die oben erwähnte Sigma-Regel zur Erkennung von Maui-Ransomware kann über 18 branchenführende SIEM-, EDR- und XDR-Lösungen hinweg angewendet werden, sowohl in lokalen als auch in cloud-nativen Umgebungen. Die Erkennung ist mit dem MITRE ATT&CK®-Rahmenwerk abgestimmt und adressiert die Execution- und Impact-Taktiken mit den Command and Scripting Interpreter (T1059) und Data Encrypted for Impact (T1486) Techniken.
Laut der von SOC Prime untersuchten Forschung, die in unserem jährlichen Detection as Code Innovation Report berichteten, setzte sich der Trend zu Ransomware in den Jahren 2020-2021 fort, mit einer zunehmenden Komplexität der Einbrüche und einer wachsenden Anzahl bösartiger Betreiber. Die SOC Prime-Plattform produziert eine breite Auswahl von Erkennungsalgorithmen, um damit verbundene Bedrohungen zu bekämpfen. Registrierte SOC Prime-Nutzer können auf die umfassende Liste der Sigma-Regeln zur Ransomware-Erkennung zugreifen, indem sie auf die Schaltfläche Detect & Hunt klicken. Alternativ können Sicherheitsexperten SOC Prime durchsuchen, um sofort relevante Sigma-Regeln mit kontextbezogenen Metadaten, einschließlich MITRE ATT&CK- und CTI-Referenzen, CVE-Beschreibungen, Ausführungsbinärdateien im Zusammenhang mit Erkennungen und mehr, zu finden, indem sie auf die Schaltfläche Explore Threat Context klicken.
Detect & Hunt Explore Threat Context
Beschreibung der Maui-Ransomware
Laut der detaillierten Untersuchung von Stairwell tauchte die Maui-Ransomware erstmals im April 2021 auf und wurde einem unbenannten, von Nordkorea unterstützten APT-Akteur zugeschrieben. Seit Mai 2021 beobachtet das FBI mehrere Angriffe auf den US-amerikanischen Gesundheits- und öffentlichen Gesundheitssektor unter Nutzung der Maui-Ransomware. Der Großteil der Einbrüche zielt auf Server ab, die Gesundheitsdienste wie elektronische Gesundheitsakten, Diagnostik, Bildgebung und Intranet steuern.
Bemerkenswert ist, dass sich Maui von anderen Ransomware-as-a-Service (RaaS)-Ringen durch seine ungewöhnliche Betriebsroutine abhebt. Die Ransomware-Betreiber wählen manuell die Dateien zur Verschlüsselung aus, wodurch jeder Einbruch einzigartig und hochgradig gezielt ist. Zusätzlich fehlt bei Maui jede eingebettete Lösegeldforderung mit Wiederherstellungsschritten.
Die Angriffs-Kill-Chain beginnt mit der Ausführung der Verschlüsselungsdatei namens „maui.exe“. Dieser bösartige Code sperrt Dateien, die der Malware-Operator innerhalb der Zielinfrastruktur auswählt. Insbesondere nutzen Hacker eine Befehlszeilenschnittstelle, um zu identifizieren, welche Datei verschlüsselt werden soll, und kombinieren AES-, RSA- und XOR-Verschlüsselung. Nach der Verschlüsselung erstellt Maui-Ransomware eine maui.log-Datei, die die Angabenergebnisse enthält, die von den Gegnern weiter exfiltriert und entschlüsselt werden.
Treten Sie bei SOC Primes Detection as Code-Plattform um sich effektiv gegen bestehende und ständig neue Bedrohungen zu verteidigen und die Cybersicherheit Ihres Unternehmens erheblich zu verbessern. Sind Sie ein proaktiver Cybersecurity-Experte, der nach neuen Horizonten strebt? Treten Sie den Reihen unserer Threat Bounty Program bei, um Sigma- und YARA-Regeln zu schreiben, sie mit Ihren Branchenkollegen zu teilen und sich wiederkehrende finanzielle Vorteile für Ihren Beitrag zu sichern.
