Mauiランサムウェア検出：米国の医療および公衆衛生セクターを標的とする新たな脅威

新たなランサムウェアの脅威に備えよ！2022年7月6日、FBI、CISA、財務省 は発行しました 北朝鮮のAPTグループが米国の医療と公衆衛生のセクターを標的として積極的に利用しているマウイランサムウェアに関する共同サイバーセキュリティアドバイザリー（CSA）を、少なくとも2021年5月以降観察されている攻撃は、通常とは異なる作業により組織にますます危険をもたらしています。特に、マウイは手動で暗号化するファイルを選択するように操作され、復旧指示を提供する埋め込みの身代金メモが欠如しているようです。

マウイランサムウェアの検出

サイバーセキュリティの専門家は、新たな脅威に対抗するための方法を常に模索し、絶え間なく変化するサイバー脅威の状況に追随しています。北朝鮮の国家支援APTグループが利用するマウイランサムウェアの不正活動をタイムリーに発見するために、SOC PrimeのDetection as Codeプラットフォームは、プロリフィックなThreat Bounty Program開発者によって設計された新しい Sigmaルール をキュレートしています ナタトーン・チュエンサンガルン。 SOC Primeのプラットフォームに登録またはログイン後、専用のコンプライアンスベースのSigmaルールに即座にアクセスするには、以下のリンクに従ってください：

Palo Alto Networksのマウイランサムウェアターゲットヘルスケアおよび公衆衛生セクターのシグネチャ検出

SOC Primeのクラウドソースイニシアティブの力を活用したい進歩的な脅威ハンターと検出エンジニアは Threat Bounty Program に参加し、集合的なサイバーセキュリティの専門知識を向上させ、貢献の対価を得ることができます。 

上記のマウイランサムウェア検出のためのSigmaルールは、18の業界をリードするSIEM、EDR、およびXDRソリューションで、オンプレミス環境やクラウドネイティブ環境の両方で適用可能です。この検出は、 MITRE ATT&CK®フレームワーク に一致しており、それぞれのCommand and Scripting Interpreter (T1059) および Data Encrypted for Impact (T1486) 技術を取り扱うことにより、実行および影響の戦術に対応しています。

SOC Primeの年間 Detection as Code Innovation Report レポートに含まれる調査によると、ランサムウェアは2020-2021にわたって増加傾向を続けており、侵入の精巧化と悪意のあるオペレーターの数が増加しています。SOC Primeのプラットフォームは、関連する脅威に対応するための幅広い検出アルゴリズムを提供します。登録されたSOC Primeユーザーは、ランサムウェア検出のためのSigmaルールの包括的なリストにアクセスするために、 Detect & Hunt のボタンをクリックできます。あるいは、セキュリティの専門家はSOC Primeを閲覧し、脈絡的なメタデータ、MITRE ATT&CKやCTIリファレンス、CVE記述、検出に紐づく実行バイナリなどとともに関連するSigmaルールに即座に到達することができ、さらに Explore Threat Context ボタンをクリックすることで。

Detect & Hunt Explore Threat Context

マウイランサムウェアの説明

詳細な 調査 によると、Stairwellによると、2021年4月にマウイランサムウェアが登場し、無名の北朝鮮支援のAPTアクターに帰属されました。2021年5月以降、FBIはマウイランサムウェアを利用した米国の医療と公衆衛生セクターへの攻撃を複数観察しています。侵入の大部分は、電子医療記録、診断、イメージング、イントラネットを含む医療サービスの責任を負うサーバーを対象としています。

特にマウイは、その異常な動作手順のために他のRaaSリングと異なります。ランサムウェアのオペレーターは手動で暗号化するファイルを選び、各侵入をユニークで高度にターゲット化されたものにしています。さらに、マウイは復旧手順を備えた埋め込みの身代金メモが欠如しています。

攻撃キルチェーンは「maui.exe」と呼ばれる暗号化バイナリの実行から始まります。この一連の悪意のあるコードは、狙われたインフラ内でマルウェアオペレーターの選ぶファイルをロックします。特に、ハッカーは AES、RSA、XOR 暗号を混在させて暗号化するファイルを識別するためにコマンドラインインタフェースを利用します。暗号化が終わると、マウイランサムウェアは攻撃結果を含むmaui.logファイルを作成し、さらに敵によって流出されて復号化されます。

参加 SOC PrimeのDetection as Codeプラットフォーム に参加して、既存および常に発生する脅威に効果的に防御し、組織のサイバーセキュリティ体制を大幅に改善してください。新しい地平を追い求める積極的なサイバーセキュリティの実践者ですか？当社の一員となり、 Threat Bounty Program SigmaとYARAルールを作成し、業界の仲間と共有し、貢献に対して継続的な経済的利益を得るために参加してください。