Dalam penasehat keamanan siber bersama yang baru, badan intelijen dan keamanan siber AS telah memperingatkan tentang penggunaan ransomware Maui oleh peretas yang didukung pemerintah Korea Utara untuk menargetkan sektor perawatan kesehatan setidaknya sejak Mei 2021.
“Aktor siber yang disponsori negara Korea Utara menggunakan Maui ransomware dalam insiden ini untuk mengenkripsi server yang bertanggung jawab atas layanan kesehatan—termasuk layanan catatan kesehatan elektronik, layanan diagnostik, layanan pencitraan, dan layanan intranet,” pihak berwenang mencatat.
Peringatan itu datang dari Badan Keamanan Siber dan Infrastruktur AS (CISA), Biro Investigasi Federal (FBI), dan Departemen Keuangan.
Perusahaan keamanan siber Stairwell, yang temuannya menjadi dasar dari saran tersebut, mengatakan bahwa keluarga ransomware yang kurang dikenal menonjol karena kurangnya beberapa fitur utama yang umumnya terkait dengan kelompok ransomware-as-a-service (RaaS).
Ini termasuk tidak adanya “catatan tebusan tertanam untuk memberikan instruksi pemulihan atau cara otomatis untuk mengirimkan kunci enkripsi ke penyerang,” kata peneliti keamanan Silas Cutler dalam tinjauan teknis ransomware.
Sebaliknya, analisis sampel Maui menunjukkan bahwa malware dirancang untuk eksekusi manual oleh aktor jarak jauh melalui antarmuka baris perintah, menggunakannya untuk menargetkan file tertentu pada mesin yang terinfeksi untuk enkripsi.
Selain mengenkripsi file target dengan enkripsi AES 128-bit dengan kunci unik, masing-masing kunci ini, pada gilirannya, dienkripsi dengan RSA menggunakan pasangan kunci yang dihasilkan pertama kali saat Maui dijalankan. Sebagai lapisan keamanan ketiga, kunci RSA dienkripsi menggunakan kunci publik RSA hard-code yang unik untuk setiap kampanye.
Apa yang membedakan Maui dari penawaran ransomware tradisional lainnya juga adalah fakta bahwa itu tidak ditawarkan sebagai layanan kepada afiliasi lain untuk digunakan dengan imbalan bagian dari keuntungan moneter.
Dalam beberapa kasus, insiden ransomware dikatakan telah mengganggu layanan kesehatan untuk waktu yang lama. Vektor infeksi awal yang digunakan untuk melakukan intrusi belum diketahui.
Perlu dicatat bahwa kampanye ini didasarkan pada kesediaan entitas layanan kesehatan untuk membayar uang tebusan agar segera pulih dari serangan dan memastikan akses tanpa gangguan ke layanan penting. Ini adalah indikasi terbaru tentang bagaimana musuh Korea Utara mengadaptasi taktik mereka untuk secara ilegal menghasilkan aliran pendapatan yang konstan untuk negara yang kekurangan uang itu.
Menurut laporan Sophos’ State of Ransomware in Healthcare 2022, 61% organisasi layanan kesehatan yang disurvei memilih untuk menetap dibandingkan dengan rata-rata global 46%, dengan hanya 2% dari mereka yang membayar uang tebusan pada tahun 2021 mendapatkan kembali data lengkap mereka.
Meskipun demikian, penggunaan keluarga ransomware yang dioperasikan secara manual oleh grup APT juga meningkatkan kemungkinan bahwa operasi tersebut dapat menjadi taktik pengalih perhatian yang dirancang untuk bertindak sebagai kedok untuk motif jahat lainnya, seperti yang baru-baru ini diamati dalam kasus Bronze Starlight.
“Serangan ransomware yang disponsori negara telah menjadi tindakan agresi internasional yang khas,” Peter Martini, salah satu pendiri iboss, mengatakan dalam sebuah pernyataan. “Sayangnya, Korea Utara secara khusus telah menunjukkan bahwa mereka sangat bersedia untuk menargetkan berbagai industri tanpa pandang bulu, termasuk perawatan kesehatan, untuk mengamankan cryptocurrency yang tidak dapat dilacak yang mendanai program senjata nuklirnya.”