Détection du ransomware Maui : nouvelle menace ciblant le secteur de la santé publique et de la santé aux États-Unis

Préparez-vous pour la nouvelle menace de ransomware ! Le 6 juillet 2022, le FBI, la CISA et le Département du Trésor ont publié un avis conjoint de cybersécurité (CSA) pour avertir du ransomware Maui activement utilisé par le groupe APT nord-coréen pour cibler les organisations dans les secteurs de la santé et de la santé publique aux États-Unis. Les attaques ont été observées depuis au moins mai 2021, posant une menace croissante pour les organisations en raison de la routine inhabituelle. En particulier, Maui semble être manuellement contrôlé pour choisir les fichiers à chiffrer et ne contient pas de note de rançon intégrée pour fournir des instructions de récupération.

Détecter le ransomware Maui

Les praticiens de la cybersécurité cherchent continuellement des moyens de se défendre proactivement contre les menaces émergentes et de suivre l’évolution rapide du paysage des cybermenaces. Pour aider les organisations à repérer à temps l’activité malveillante du groupe APT soutenu par l’État nord-coréen utilisant le ransomware Maui, la plateforme Detection as Code de SOC Prime propose une nouvelle règle Sigma conçue par notre développeur prolifique du programme Threat Bounty Nattatorn Chuensangarun. Suivez le lien ci-dessous pour accéder instantanément à la règle Sigma dédiée basée sur la conformité après vous être inscrit ou connecté sur la plateforme de SOC Prime :

Détection par signature Palo Alto Networks pour le ransomware Maui ciblant le secteur de la santé et de la santé publique

Les chasseurs de menaces progressifs et les ingénieurs de détection désireux de tirer parti de l’initiative de crowdsourcing de SOC Prime sont invités à rejoindre le Programme Threat Bounty et à contribuer avec leur propre contenu de détection tout en enrichissant l’expertise collective en cybersécurité et en monétisant leur contribution.

La règle Sigma mentionnée ci-dessus pour la détection du ransomware Maui peut être appliquée à travers 18 solutions SIEM, EDR et XDR de premier plan, dans des environnements sur site et natifs du cloud. La détection est alignée avec le cadre MITRE ATT&CK® abordant les tactiques d’exécution et d’impact avec les techniques d’interpréteur de commande et de script (T1059) et de chiffrement de données pour impact (T1486), respectivement.

Selon les recherches de SOC Prime couvertes dans notre rapport annuel sur l’innovation Detection as Code , le ransomware a continué d’être une tendance en hausse tout au long de 2020-2021 avec une sophistication croissante des intrusions et un nombre croissant d’opérateurs malveillants. La plateforme de SOC Prime produit une large sélection d’algorithmes de détection pour combattre les menaces connexes. Les utilisateurs enregistrés de SOC Prime peuvent accéder à la liste complète des règles Sigma pour la détection de ransomwares en cliquant sur le bouton Détecter & Chasser . Alternativement, les praticiens de la sécurité peuvent parcourir SOC Prime pour atteindre instantanément des règles Sigma pertinentes accompagnées de métadonnées contextuelles, y compris des références MITRE ATT&CK et CTI, des descriptions CVE, des binaires exécutables liés aux détections, et plus encore en cliquant sur le bouton Explorer le contexte des menaces .

Détecter & Chasser Explorer le contexte des menaces

Description du ransomware Maui

Selon l’enquête approfondie de Stairwell, le ransomware Maui est apparu pour la première fois en avril 2021, étant attribué à l’acteur APT soutenu par la Corée du Nord. Depuis mai 2021, le FBI observe de multiples attaques contre les secteurs de la santé et de la santé publique des États-Unis utilisant le ransomware Maui. La majorité des intrusions visent les serveurs responsables des services de santé, y compris les dossiers de santé électroniques, le diagnostic, l’imagerie et l’intranet. by Stairwell, Maui ransomware first emerged in April 2021 being attributed to the unnamed North Korea-backed APT actor. Starting from May 2021, the FBI is observing multiple attacks against U.S. healthcare and public health sectors leveraging Maui ransomware. The majority of the intrusions are aimed at servers responsible for healthcare services, including electronic healthcare records, diagnostics, imaging, and intranet. 

Notamment, Maui se distingue des autres cercles de ransomware en tant que service (RaaS) en raison de sa routine d’opération inhabituelle. Les opérateurs de ransomware ont tendance à choisir manuellement les fichiers à chiffrer, rendant chaque intrusion unique et fortement ciblée. De plus, Maui ne contient aucune note de rançon intégrée avec les étapes de récupération.

La chaîne de destruction d’attaque commence par l’exécution de l’exécutable de chiffrement appelé “maui.exe”. Cette chaîne de code malveillant verrouille les fichiers du choix de l’opérateur de malware au sein de l’infrastructure ciblée. En particulier, les pirates exploitent une interface en ligne de commande pour identifier quel fichier chiffrer en utilisant un mélange de chiffrement AES, RSA et XOR. Suite au chiffrement, le ransomware Maui crée un fichier maui.log contenant le résultat de l’attaque qui est ensuite exfiltré par les adversaires et déchiffré.

Rejoignez la plateforme Detection as Code de SOC Prime pour vous défendre efficacement contre les menaces existantes et constamment émergentes et améliorer considérablement la posture de cybersécurité de votre organisation. Êtes-vous un praticien de la cybersécurité proactif en quête de nouveaux horizons ? Rejoignez les rangs de nos Programme Threat Bounty pour rédiger des règles Sigma et YARA, les partager avec vos pairs de l’industrie et bénéficier de récompenses financières récurrentes pour votre contribution.