La Cybersecurity and Infrastructure Security Agency (CISA) dello Zio Sam, l’FBI e il Dipartimento del Tesoro hanno pubblicato un avviso congiunto in cui si delinea una campagna ransomware orchestrata da Pyongyang in corso almeno dal maggio 2021.
Il vettore di accesso iniziale, ovvero il modo in cui questi attori della minaccia si introducono nelle organizzazioni, non è noto. Tuttavia, l’FBI afferma di aver lavorato con diverse organizzazioni del settore sanitario e della salute pubblica (HPH) infettate dal ransomware Maui.
“In questi incidenti, gli attori informatici sponsorizzati dallo Stato nordcoreano hanno utilizzato il ransomware Maui per criptare i server responsabili dei servizi sanitari, compresi i servizi di cartelle cliniche elettroniche, i servizi di diagnostica, i servizi di imaging e i servizi intranet“, si legge nell’avviso di sicurezza congiunto. “In alcuni casi, questi incidenti hanno interrotto i servizi forniti dalle organizzazioni del settore HPH prese di mira per periodi prolungati“.
I federali ipotizzano che il motivo per cui le organizzazioni del settore HPH sono state prese di mira è che pagheranno riscatti piuttosto che rischiare di essere bloccate dai sistemi, di vedersi negare i dati o di vedersi interrompere i servizi critici.
Maui, secondo Silas Cutler, principal reverse engineer presso la società di sicurezza Stairwell, è una delle famiglie di ransomware meno conosciute. Secondo Cutler, si distingue per la mancanza di strumenti orientati al servizio, come una nota di riscatto incorporata con istruzioni di recupero. Questo lo porta a credere che Maui sia gestito manualmente da persone che specificano quali file devono essere crittografati ed esfiltrare.
L’FBI mette in guardia dalle cyberspie nordcoreane che si fingono lavoratori IT stranieri
L’anno scorso la Corea del Nord ha fatto 400 milioni di dollari in rapine di criptovalute rapporto
Il riciclaggio di criptovalute Blender stroncato dal Tesoro statunitense in occasione delle prime sanzioni
L’avviso, basato sulla ricerca di Stairwell, indica che il ransomware Maui è un binario di crittografia che un operatore remoto esegue manualmente tramite interazione con la riga di comando. Il ransomware utilizza la crittografia AES, RSA e XOR per bloccare i file di destinazione. Successivamente, la vittima può aspettarsi una richiesta di pagamento del riscatto.
Secondo SonicWall, nel 2021 sono stati registrati 304,7 milioni di attacchi ransomware, con un aumento del 151%. Nel settore sanitario, l’aumento percentuale è stato del 594%.
CrowdStrike, un’altra società di sicurezza, nel suo Global Threat Report 2022 ha affermato che la Corea del Nord ha spostato la sua attenzione sulle entità di criptovaluta “nel tentativo di mantenere la generazione di entrate illecite durante le interruzioni economiche causate dalla pandemia“. Si pensi, ad esempio, al recente furto di 100 milioni di dollari di criptovalute da Harmony da parte del gruppo di criminalità informatica Lazarus, con sede in Corea del Nord. Ma le organizzazioni che solitamente effettuano transazioni con valute fiat non sono al riparo.
Sophos, un’altra società di sicurezza, ha dichiarato nel suo State of Ransomware Report 2022 che il pagamento medio del riscatto lo scorso anno è stato di 812.360 dollari, un aumento di 4,8 volte rispetto al 2020, quando il pagamento medio era di 170.000 dollari. L’azienda ha inoltre dichiarato che un numero maggiore di vittime sta pagando riscatti: l’11% nel 2021 rispetto al 4% nel 2020.
L’avviso scoraggia il pagamento di riscatti. Tuttavia, l’FBI chiede alle organizzazioni colpite di condividere le informazioni relative agli attacchi ransomware, come le comunicazioni con indirizzi IP stranieri, i dettagli dei portafogli Bitcoin e i campioni di file. L’avviso prosegue suggerendo i modi per mitigare gli attacchi ransomware e minimizzare i danni.
Il mese scorso, il Dipartimento di Giustizia degli Stati Uniti ha delineato il suo piano strategico per i prossimi quattro anni, citando tra i suoi obiettivi il miglioramento della sicurezza informatica e la lotta alla criminalità informatica. Uno dei parametri chiave per il successo sarà la “percentuale di incidenti ransomware segnalati per i quali vengono aperti casi, aggiunti a quelli esistenti o risolti o vengono condotte azioni investigative entro 72 ore“.
