朝鲜国家资助的网络攻击者使用 Maui Ransomware 攻击医疗保健和公共卫生部门

概括

联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 和财政部 (Treasury) 正在发布这份联合网络安全咨询 (CSA)，以提供有关毛伊岛勒索软件的信息，该软件已被朝鲜使用至少从 2021 年 5 月开始，由国家资助的网络参与者针对医疗保健和公共卫生 (HPH) 部门组织。

该联合 CSA 提供有关从 FBI 事件响应活动和对 Maui 样本的行业分析获得的 Maui 勒索软件的信息，包括策略、技术和程序 (TTP) 和危害指标 (IOC)。FBI、CISA 和财政部敦促 HPH 部门组织以及其他关键基础设施组织应用本 CSA 的缓解部分中的建议，以降低勒索软件操作受到威胁的可能性。Maui 勒索软件的受害者应将事件报告给当地的 FBI 外地办事处或 CISA。

FBI、CISA 和财政部强烈反对支付赎金，因为这样做并不能保证文件和记录会被恢复，并且可能会带来制裁风险。注： 2021 年 9 月，财政部发布了更新的公告强调与勒索软件支付相关的制裁风险以及公司可以采取的积极措施来减轻此类风险。具体而言，更新后的公告鼓励美国实体采用和改进网络安全实践，并向执法部门报告勒索软件攻击并与执法部门充分合作。更新后的公告指出，当受影响的各方采取这些积极措施时，财政部外国资产控制办公室 (OFAC) 将更有可能通过非公开执法响应来解决涉及勒索软件攻击的明显制裁违规行为。

技术细节

自 2021 年 5 月以来，FBI 观察并响应了 HPH 部门组织的多起 Maui 勒索软件事件。朝鲜国家资助的网络攻击者在这些事件中使用 Maui 勒索软件来加密负责医疗保健服务的服务器，包括电子健康记录服务、诊断服务、成像服务和内部网服务。在某些情况下，这些事件会长时间中断目标 HPH 部门组织提供的服务。这些事件的初始访问向量是未知的。

毛伊岛勒索软件

Maui 勒索软件 ( maui.exe) 是一种加密二进制文件。根据 Stairwell Threat Report: Maui Ransomware 中提供的 Maui 样本（SHA256: 5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e）的行业分析，该勒索软件似乎是为远程操作者手动执行 [ TA0002 ] 而设计的。远程参与者使用命令行界面 [ T1059.008 ] 与恶意软件交互并识别要加密的文件。

Maui 使用高级加密标准 (AES)、RSA 和 XOR 加密的组合来加密 [ T1486 ] 目标文件：

Maui 使用 AES 128 位加密对目标文件进行加密。每个加密文件都有一个唯一的 AES 密钥，每个文件都包含一个带有文件原始路径的自定义标头，允许 Maui 识别以前加密的文件。标头还包含 AES 密钥的加密副本。
Maui 使用 RSA 加密对每个 AES 密钥进行加密。

Maui 将 RSA 公钥 ( maui.key) 和私钥 ( maui.evd) 加载到与其自身相同的目录中。

maui.keyMaui使用 XOR 加密对 RSA 公钥 ( ) 进行编码。XOR 密钥是根据硬盘驱动器信息 ( \\.\PhysicalDrive0) 生成的。

在加密过程中，Maui 会为它使用的每个加密文件创建一个临时文件GetTempFileNameW()。Maui 使用临时来暂存加密的输出。加密文件后，Maui 创建maui.log，其中包含 Maui 执行的输出。参与者可能会潜入 [TA0010]maui.log并使用相关的解密工具解密文件。

妥协指标

有关自 2021 年 5 月以来从 FBI 事件响应活动中获得的 Maui 勒索软件 IOC，请参见表 1。

表 1：毛伊岛勒索软件 IOC

归因于朝鲜国家支持的网络行为者

联邦调查局评估朝鲜国家支持的网络攻击者已经针对医疗保健和公共卫生部门组织部署了 Maui 勒索软件。朝鲜国家支持的网络攻击者可能认为医疗保健组织愿意支付赎金，因为这些组织提供对人类生命和健康至关重要的服务。由于这一假设，联邦调查局、中央情报局和财政部评估朝鲜国家支持的行为者可能会继续针对 HPH 部门的组织。

缓解措施

FBI、CISA 和财政部敦促 HPH 部门组织：

通过部署公钥基础设施和数字证书来限制对数据的访问，以验证与网络、物联网 (IoT) 医疗设备和电子健康记录系统的连接，并确保数据包在人类传输过程中不被操纵- 中间攻击。
在内部系统上使用标准用户帐户而不是管理帐户，这允许总体管理系统权限并且不确保最低权限。
为广域网 (WAN) 关闭 Telnet、SSH、Winbox 和 HTTP 等网络设备管理接口，并在启用时使用强密码和加密保护。
在收集点保护个人身份信息 (PII)/患者健康信息 (PHI)，并使用传输层安全 (TPS) 等技术对静态和传输中的数据进行加密。仅将个人患者数据存储在受防火墙保护的内部系统上，并确保在数据受到损害时可以进行大量备份。
通过在显示时屏蔽永久帐号 (PAN) 并在存储时使其不可读（例如通过加密）来保护存储的数据。
根据 1996 年健康保险流通与责任法案 (HIPAA) 等法规，保护 PII 和 PHI 的收集、存储和处理实践。实施 HIPAA 安全措施可以防止在系统中引入恶意软件。
实施和实施多层网络分段，最关键的通信和数据位于最安全和可靠的层上。
使用监控工具来观察物联网设备是否由于妥协而表现异常。
创建并定期审查规范 PII/PHI 的收集、存储、访问和监控的内部政策。

此外，FBI、CISA 和财政部敦促所有组织，包括 HPH 部门组织，采用以下建议来准备、减轻/预防和应对勒索软件事件。

准备勒索软件

维护数据的离线（即物理断开）备份，并定期测试备份和恢复。这些做法可保护组织的运营连续性，或至少最大限度地减少勒索软件事件造成的潜在停机时间并防止数据丢失。
确保所有备份数据都经过加密、不可变（即不能更改或删除），并覆盖整个组织的数据基础设施。
创建、维护和执行基本的网络事件响应计划和相关的通信计划，其中包括针对勒索软件事件的响应程序。
组织还应确保其事件响应和沟通计划包括数据泄露事件的响应和通知程序。确保通知程序遵守适用的州法律。
对于涉及电子健康信息的违规行为，您可能需要通知联邦贸易委员会 (FTC) 或卫生与公众服务部，在某些情况下还需要通知媒体。
请参阅 CISA-多州信息共享和分析中心 (MS-ISAC) 联合勒索软件指南和 CISA 情况说明书保护敏感和个人信息免受勒索软件引起的数据泄露，了解有关创建勒索软件响应清单以及规划和响应勒索软件引起的信息数据泄露。

缓解和预防勒索软件

操作系统、软件和固件的更新在发布后立即安装。及时修补是组织可以采取的最有效和最具成本效益的步骤之一，以最大限度地减少其对网络安全威胁的暴露。定期检查软件更新和生命周期结束通知，并优先修补已知被利用的漏洞。考虑利用集中式补丁管理系统来自动化和加快流程。
如果您使用远程桌面协议 (RDP) 或其他可能存在风险的服务，请保护并密切监控它们。
限制通过内部网络访问资源，尤其是通过限制 RDP 和使用虚拟桌面基础架构。在评估风险后，如果认为 RDP 在操作上是必要的，则限制原始来源，并要求多因素身份验证 (MFA) 以减少凭证盗窃和重用。如果 RDP 必须在外部可用，请在允许 RDP 连接到内部设备之前，使用虚拟专用网络 (VPN)、虚拟桌面基础架构或其他方式对连接进行身份验证和保护。监控远程访问/RDP 日志，在指定次数的尝试阻止暴力攻击活动后强制帐户锁定，记录 RDP 登录尝试，并禁用未使用的远程访问/RDP 端口。
确保设备配置正确并启用安全功能。禁用未用于业务目的的端口和协议（例如，RDP 传输控制协议端口3389）。
将网络中的服务器消息块 (SMB) 协议限制为仅访问必要的服务器并删除或禁用 SMB 的过时版本（即 SMB 版本 1）。威胁参与者使用 SMB 在组织之间传播恶意软件。
查看第三方供应商以及与您的组织互连的供应商的安全状况。确保监控和审查第三方供应商与外部软件或硬件之间的所有连接是否存在可疑活动。
为应用程序和远程访问实施列表策略，仅允许系统在已建立的情况下执行已知和允许的程序。
以受保护的查看模式打开文档阅读器，以帮助防止运行活动内容。
实施用户培训计划和网络钓鱼练习，以提高用户对访问可疑网站、点击可疑链接和打开可疑附件的风险的认识。加强对网络钓鱼和鱼叉式网络钓鱼电子邮件的适当用户响应。
尽可能多的服务需要 MFA ，尤其是 webmail、VPN、访问关键系统的帐户以及管理备份的特权帐户。
使用强密码并避免为多个帐户重复使用密码。
需要管理员凭据才能安装软件。
审核具有管理或提升权限的用户帐户，并以最低权限配置访问控制。
在所有主机上安装并定期更新防病毒和反恶意软件。
仅使用安全网络，避免使用公共 Wi-Fi 网络。考虑安装和使用 VPN。
考虑为来自组织外部的消息添加电子邮件横幅。
禁用收到的电子邮件中的超链接。

应对勒索软件事件

如果您的组织发生勒索软件事件：

遵循您组织的勒索软件响应清单（请参阅准备勒索软件部分）。
扫描备份。如果可能，请使用防病毒程序扫描备份数据以检查它是否没有恶意软件。这应该使用一个隔离的、受信任的系统来执行，以避免将备份暴露在潜在的危害之下。
遵循网络事件响应计划中概述的通知要求。
向当地 FBI 外地办事处的 FBI、 us-cert.cisa.gov /report 上的CISA或USSS 外地办事处的美国特勤局 (USSS)报告事件。
应用由 CISA 和澳大利亚、加拿大、新西兰和英国的网络安全当局共同开发的网络安全咨询、发现和补救恶意活动的技术方法中发现的事件响应最佳实践。

注意： FBI、CISA 和财政部强烈反对支付赎金，因为这样做并不能保证文件和记录会被恢复，并且可能会带来制裁风险。

索取资料

FBI 正在寻找任何可以共享的信息，包括显示与外国 IP 地址之间的通信的边界日志、比特币钱包信息、解密文件和/或加密文件的良性样本。如上所述，联邦调查局不鼓励支付赎金。付款并不能保证文件将被恢复，并且可能会鼓励对手针对其他组织、鼓励其他犯罪分子参与分发勒索软件和/或资助非法活动。然而，联邦调查局了解，当受害者面临无法运作时，所有选项都经过评估，以保护股东、员工和客户。无论您或您的组织是否已决定支付赎金，FBI、CISA 和财政部都敦促您及时向 FBI 报告勒索软件事件。当地的 FBI 外地办事处、us-cert.cisa.gov /report 上的 CISA或USSS 外地办事处的 USSS 。这样做为美国政府提供了防止未来攻击所需的关键信息，方法是识别和跟踪勒索软件行为者并根据美国法律追究他们的责任。

资源

有关防范和响应勒索软件的更多信息和资源，请参阅StopRansomware.gov，这是一个集中的美国政府整体网页，提供勒索软件资源和警报。
CISA 的勒索软件准备情况评估是一项免费的自我评估，基于一套分层实践，可帮助组织更好地评估他们在防御勒索软件事件和从勒索软件事件中恢复的能力。
帮助组织减轻勒索软件攻击并提供勒索软件响应清单的指南：CISA-多州信息共享和分析中心 (MS-ISAC) 联合勒索软件指南。
美国国务院的司法奖励 (RFJ) 计划为外国政府针对美国关键基础设施的恶意活动的报告提供高达 1000 万美元的奖励。

致谢

FBI、CISA 和财政部要感谢 Stairwell 对 CSA 的贡献。

文章转自：CYBERSECURITY&INFRASTRUCTURE SECURITY AGENCY