Detección de Ransomware Maui: Nueva Amenaza Dirigida al Sector de Salud Pública y Atención Médica de EE.UU.
Tabla de contenidos:
Prepárate para la nueva amenaza de ransomware. El 6 de julio de 2022, el FBI, CISA y el Departamento del Tesoro emitieron un aviso conjunto de ciberseguridad (CSA) para advertir sobre el ransomware Maui que está siendo utilizado activamente por el grupo APT de Corea del Norte para atacar organizaciones en los sectores de salud pública y atención médica de EE.UU. Los ataques se han observado desde al menos mayo de 2021, representando una amenaza creciente para las organizaciones debido a su rutina inusual. En particular, Maui parece ser operado manualmente para elegir archivos para cifrar y carece de una nota de rescate incrustada para proporcionar instrucciones de recuperación.
Detectar el Ransomware Maui
Los profesionales de ciberseguridad están continuamente buscando formas de defenderse proactivamente contra amenazas emergentes y mantenerse al día con el cambiante panorama de amenazas cibernéticas. Para ayudar a las organizaciones a detectar a tiempo la actividad maliciosa del grupo APT respaldado por el estado norcoreano que utiliza el ransomware Maui, la plataforma Detection as Code de SOC Prime cura una nueva regla Sigma creada por nuestro prolífico desarrollador del Programa Threat Bounty Nattatorn Chuensangarun. Sigue el enlace a continuación para acceder instantáneamente a la regla Sigma basada en cumplimiento tras registrarte o iniciar sesión en la plataforma de SOC Prime:
Cazadores de amenazas progresivas e ingenieros de detección interesados en aprovechar el poder de la iniciativa de crowdsourcing de SOC Prime son bienvenidos a unirse al Programa Threat Bounty y contribuir con su propio contenido de detección mientras enriquecen la experiencia en ciberseguridad colectiva y monetizan su aportación.
La regla Sigma mencionada anteriormente para la detección de ransomware Maui se puede aplicar en 18 soluciones líderes de la industria para SIEM, EDR y XDR, tanto en entornos locales como en la nube. La detección está alineada con el marco MITRE ATT&CK® abordando las tácticas de Ejecución e Impacto con el Intérprete de Comandos y Scripts (T1059) y los Datos Cifrados para Impacto (T1486) respectivamente.
Según la investigación de SOC Prime cubierta en nuestro Informe de Innovación de Detección como Código anual, el ransomware continuó siendo una tendencia en aumento a lo largo de 2020-2021 con una creciente sofisticación de intrusiones y un número creciente de operadores maliciosos. La plataforma de SOC Prime produce una amplia selección de algoritmos de detección para combatir amenazas relacionadas. Los usuarios registrados de SOC Prime pueden acceder a la lista completa de reglas Sigma para detección de ransomware haciendo clic en el botón Detectar y Buscar . Alternativamente, los profesionales de seguridad pueden navegar por SOC Prime para acceder instantáneamente a las reglas Sigma relevantes acompañadas por metadatos contextuales, incluyendo referencias a MITRE ATT&CK y CTI, descripciones de CVE, binarios ejecutables vinculados a detecciones y más haciendo clic en el botón Explorar Contexto de Amenaza .
Detectar y Buscar Explorar Contexto de Amenaza
Descripción del Ransomware Maui
Según la investigación en profundidad realizada por Stairwell, el ransomware Maui apareció por primera vez en abril de 2021 siendo atribuido a un actor APT anónimo respaldado por Corea del Norte. Desde mayo de 2021, el FBI ha observado múltiples ataques contra los sectores de salud pública y atención médica de EE.UU. utilizando el ransomware Maui. La mayoría de las intrusiones están dirigidas a servidores responsables de servicios de salud, incluyendo registros electrónicos de salud, diagnósticos, imágenes e intranet.
Es notable que Maui se destaca de otros anillos de ransomware como servicio (RaaS) debido a su inusual rutina de operación. Los operadores de ransomware tienden a elegir manualmente los archivos para cifrar, haciendo que cada intrusión sea única y altamente dirigida. Además, Maui no tiene notas de rescate incrustadas con pasos de recuperación.
La cadena de ataque comienza con la ejecución del binario de cifrado denominado “maui.exe”. Este código malicioso bloquea archivos a elección del operador de malware dentro de la infraestructura objetivo. En particular, los hackers utilizan una interfaz de línea de comandos para identificar qué archivo cifrar usando una combinación de cifrado AES, RSA y XOR. Tras el cifrado, el ransomware Maui crea un archivo maui.log que contiene el resultado del ataque, el cual es posteriormente exfiltrado por los adversarios y descifrado.
Únete a la plataforma Detection as Code de SOC Prime para defenderte efectivamente contra amenazas existentes y emergentes constantemente y mejorar significativamente la postura de ciberseguridad de tu organización. ¿Eres un profesional proactivo de ciberseguridad en busca de nuevos horizontes? Únete a las filas de nuestro Programa Threat Bounty para escribir reglas Sigma y YARA, compartirlas con tus pares de la industria y obtener beneficios financieros recurrentes por tu contribución.
