Maui Ransomware Detection: Novel Threat Targeting U.S. Healthcare and Public Health Sector

Preparati per la nuova minaccia ransomware! Il 6 luglio 2022, l’FBI, la CISA e il Dipartimento del Tesoro hanno emesso una consulenza congiunta sulla sicurezza informatica (CSA) per avvisare circa il ransomware Maui attivamente sfruttato dal gruppo APT nordcoreano per colpire le organizzazioni nei settori sanitario e della salute pubblica negli Stati Uniti. Gli attacchi sono stati osservati almeno dal maggio 2021, rappresentando una crescente minaccia per le organizzazioni a causa della routine insolita. In particolare, Maui sembra essere operato manualmente per scegliere i file da criptare e manca di una nota di riscatto incorporata per fornire istruzioni per il recupero.

Rilevamento del Ransomware Maui

I professionisti della sicurezza informatica cercano continuamente modi per difendersi proattivamente dalle minacce emergenti e tenere il passo con il panorama delle minacce informatiche in continua evoluzione. Per aiutare le organizzazioni a individuare tempestivamente l’attività malevola del gruppo APT supportato dallo stato nordcoreano che sfrutta il ransomware Maui, la piattaforma Detection as Code di SOC Prime cura una nuova regola Sigma creata dal nostro prolifico sviluppatore del programma Threat Bounty Nattatorn Chuensangarun. Segui il link sottostante per accedere istantaneamente alla regola Sigma dedicata alla conformità dopo esserti registrato o aver effettuato l’accesso alla piattaforma di SOC Prime:

Rilevamento delle Signature Palo Alto Networks per il settore sanitario e della salute pubblica mirato dal Ransomware Maui

Cacciatori di minacce progressivi e ingegneri di rilevamento desiderosi di sfruttare l’iniziativa crowdsourced di SOC Prime sono invitati a unirsi al Threat Bounty Program e contribuire con il proprio contenuto di rilevamento arricchendo la competenza collettiva sulla sicurezza informatica e monetizzando il proprio contributo.

La regola Sigma sopra menzionata per il rilevamento del ransomware Maui può essere applicata su 18 soluzioni leader del settore SIEM, EDR e XDR, sia in ambienti on-premise che cloud-native. Il rilevamento è allineato con il framework MITRE ATT&CK® rivolgendosi alle tattiche di Esecuzione e Impatto con le tecniche di Command and Scripting Interpreter (T1059) e Data Encrypted for Impact (T1486) rispettivamente.

Secondo la ricerca di SOC Prime coperta nel nostro Detection as Code Innovation Report rapporto annuale, i ransomware hanno continuato a essere una tendenza in crescita nel 2020-2021 con una crescente sofisticazione delle intrusioni e un numero crescente di operatori dannosi. La piattaforma di SOC Prime produce un’ampia selezione di algoritmi di rilevamento per combattere le minacce correlate. Gli utenti registrati di SOC Prime possono accedere alla lista completa delle regole Sigma per il rilevamento dei ransomware cliccando il Detect & Hunt pulsante. In alternativa, i professionisti della sicurezza possono sfogliare SOC Prime per raggiungere istantaneamente le regole Sigma pertinenti accompagnate da metadati contestuali, inclusi riferimenti a MITRE ATT&CK e CTI, descrizioni CVE, binari eseguibili collegati ai rilevamenti, e altro ancora cliccando il Explore Threat Context pulsante.

Detect & Hunt Explore Threat Context

Descrizione del Ransomware Maui

Secondo l’approfondita indagine di Stairwell, il ransomware Maui è emerso per la prima volta nell’aprile 2021 essendo attribuito a un attore APT sostenuto dalla Corea del Nord non nominato. A partire da maggio 2021, l’FBI sta osservando molteplici attacchi contro i settori sanitario e della salute pubblica degli Stati Uniti sfruttando il ransomware Maui. La maggior parte delle intrusioni è mirata a server responsabili dei servizi sanitari, inclusi i registri sanitari elettronici, la diagnostica, l’imaging e l’intranet.

In particolare, Maui si distingue dagli altri anelli di ransomware-as-a-service (RaaS) a causa della sua insolita routine operativa. Gli operatori di ransomware tendono a scegliere manualmente i file da criptare, rendendo ciascuna intrusione unica e altamente mirata. Inoltre, Maui non ha note di riscatto incorporate con istruzioni di recupero.

La kill chain dell’attacco inizia con l’esecuzione del binario di crittografia soprannominato “maui.exe.” Questa stringa di codice malevolo blocca i file a scelta dell’operatore di malware all’interno dell’infrastruttura mirata. In particolare, gli hacker sfruttano un’interfaccia a riga di comando per identificare quale file criptare sfruttando un mix di crittografia AES, RSA e XOR. Dopo la crittografia, il ransomware Maui crea un file maui.log contenente l’output dell’attacco che viene ulteriormente esfiltrato dagli avversari e decifrato.

Unisciti alla piattaforma Detection as Code di SOC Prime per difendersi efficacemente dalle minacce esistenti e in costante evoluzione e migliorare significativamente la postura di sicurezza informatica della tua organizzazione. Sei un praticante della sicurezza informatica proattivo che mira a nuovi orizzonti? Unisciti ai ranghi dei nostri Threat Bounty Program per scrivere regole Sigma e YARA, condividerle con i tuoi colleghi del settore e ottenere benefici finanziari ricorrenti per il tuo contributo.