Detecção do Ransomware Maui: Nova Ameaça Visando o Setor de Saúde e Saúde Pública nos EUA
Índice:
Prepare-se para a nova ameaça de ransomware! Em 6 de julho de 2022, o FBI, a CISA e o Departamento do Tesouro emitiram um aviso conjunto de Segurança Cibernética (CSA) para alertar sobre o ransomware Maui ativamente utilizado pelo grupo APT norte-coreano para atacar organizações nos setores de saúde e saúde pública dos EUA. Os ataques têm sido observados desde pelo menos maio de 2021, representando uma ameaça crescente para as organizações devido à rotina incomum. Particularmente, Maui parece ser operado manualmente para escolher arquivos para criptografia e não possui uma nota de resgate embutida para fornecer instruções de recuperação.
Detectar Ransomware Maui
Profissionais de cibersegurança estão continuamente buscando maneiras de se defender proativamente contra ameaças emergentes e acompanhar o sempre mutável cenário de ameaças cibernéticas. Para ajudar as organizações a identificar a atividade maliciosa do grupo APT apoiado pelo estado norte-coreano utilizando o ransomware Maui, a plataforma Detection as Code da SOC Prime seleciona uma nova regra Sigma elaborada por nosso prolífico desenvolvedor do Threat Bounty Program Nattatorn Chuensangarun. Siga o link abaixo para acessar instantaneamente a regra Sigma baseada em Conformidade após cadastrar-se ou fazer login na plataforma da SOC Prime:
Caçadores de Ameaças Progressivos e Engenheiros de Detecção ansiosos para aproveitar o poder da iniciativa crowdsourced da SOC Prime são bem-vindos a se juntar ao Threat Bounty Program e contribuir com seu próprio conteúdo de detecção enquanto enriquecem a expertise coletiva em cibersegurança e monetizam sua contribuição.
A regra Sigma acima mencionada para detecção de ransomware Maui pode ser aplicada em 18 soluções líderes da indústria, SIEM, EDR e XDR, tanto em ambientes on-premise quanto em nuvem nativa. A detecção está alinhada com o framework MITRE ATT&CK® abordando as táticas de Execução e Impacto com as técnicas de Interpretador de Comando e Script (T1059) e Dados Criptografados para Impacto (T1486) respectivamente.
Segundo a pesquisa da SOC Prime coberta em nosso relatório anual Detection as Code Innovation Report , o ransomware continuou a ser uma tendência crescente ao longo de 2020-2021 com sofisticação crescente de intrusões e um número crescente de operadores maliciosos. A plataforma da SOC Prime produz uma ampla seleção de algoritmos de detecção para combater ameaças relacionadas. Usuários registrados da SOC Prime podem acessar a lista abrangente de regras Sigma para detecção de ransomware clicando no botão Detect & Hunt . Alternativamente, os profissionais de segurança podem navegar na SOC Prime para acessar instantaneamente as regras Sigma relevantes acompanhadas por metadados contextuais, incluindo referências MITRE ATT&CK e CTI, descrições CVE, binários executáveis ligados às detecções, e mais clicando no botão Explore Threat Context .
Detect & Hunt Explore Threat Context
Descrição do Ransomware Maui
De acordo com a investigação aprofundada da Stairwell, o ransomware Maui surgiu pela primeira vez em abril de 2021, sendo atribuído ao ator APT não identificado apoiado pela Coreia do Norte. Desde maio de 2021, o FBI está observando múltiplos ataques contra os setores de saúde e saúde pública dos EUA utilizando o ransomware Maui. A maioria das intrusões é direcionada a servidores responsáveis por serviços de saúde, incluindo registros eletrônicos de saúde, diagnósticos, imagens e intranet.
Notavelmente, Maui se destaca das outras redes de ransomware como serviço (RaaS) devido à sua rotina operacional incomum. Os operadores de ransomware tendem a escolher manualmente os arquivos para criptografia, tornando cada intrusão única e altamente direcionada. Além disso, Maui não possui notas de resgate embutidas com etapas de recuperação.
A cadeia de ataque começa com a execução do binário de criptografia apelidado de “maui.exe.” Esta sequência de código malicioso bloqueia arquivos da escolha do operador de malware dentro da infraestrutura alvo. Particularmente, os hackers utilizam uma interface de linha de comando para identificar qual arquivo criptografar usando uma combinação de criptografia AES, RSA e XOR. Após a criptografia, o ransomware Maui cria um arquivo maui.log contendo a saída do ataque que é posteriormente exfiltrada pelos adversários e descriptografada.
Junte-se à plataforma Detection as Code da SOC Prime para se defender efetivamente contra ameaças existentes e constantemente emergentes e melhorar significativamente a postura de cibersegurança da sua organização. Você é um profissional de cibersegurança proativo buscando novos horizontes? Junte-se às fileiras de nosso Threat Bounty Program para escrever regras Sigma e YARA, compartilhá-las com seus pares da indústria e obter benefícios financeiros recorrentes por sua contribuição.
