banner large

FBI: Peretas ini menargetkan catatan perawatan kesehatan dan sistem TI dengan ransomware ‘Maui’

Comment
X
Share
fbi-decision-to-withhold-kaseya-ransomware.jpg

Gambar: Dzelat/Shutterstock

Tiga agen AS telah memperingatkan tentang ransomware yang kurang dikenal bernama Maui yang menargetkan layanan TI di organisasi kesehatan dan kesehatan masyarakat sejak Mei 2021.

Biro Investigasi Federal (FBI), Cybersecurity and Infrastructure Security Agency (CISA), dan Departemen Keuangan (Treasury) minggu ini mengeluarkan peringatan baru tentang Maui ransomware – “maui.exe” yang dapat dieksekusi Windows – sedini itu analisis menyarankan dirancang untuk penyerang untuk secara manual memilih file untuk enkripsi.

FBI telah mengaitkan serangan Maui dengan penyerang siber yang disponsori negara Korea Utara dan telah menanggapi insiden di organisasi perawatan kesehatan AS sejak Mei 2021.

MELIHAT: Ini adalah ancaman keamanan siber masa depan yang harus Anda pikirkan hari ini

Badan-badan tersebut percaya serangan Maui terhadap kesehatan akan terus berlanjut karena para penyerang menganggap organisasi-organisasi ini akan membayar.

“FBI menilai aktor siber yang disponsori negara Korea Utara telah menyebarkan ransomware Maui terhadap organisasi Sektor Kesehatan dan Kesehatan Masyarakat (HPH). Pelaku siber yang disponsori negara Korea Utara kemungkinan menganggap organisasi perawatan kesehatan bersedia membayar uang tebusan karena organisasi ini menyediakan layanan yang penting bagi kehidupan dan kesehatan manusia,” bunyi peringatan tersebut.

“Karena asumsi ini, FBI, CISA, dan Departemen Keuangan menilai aktor Korea Utara yang disponsori negara kemungkinan akan terus menargetkan organisasi Sektor HPH.”

Peringatan badan-badan tersebut merujuk pada laporan oleh insinyur balik utama perusahaan keamanan Stairwell, Silas Cutler. Stairwell tidak mengaitkan Maui dengan aktor mana pun dalam laporannya.

Tapi Cutler mengatakan Maui berdiri terpisah dari geng ransomware-as-a-service yang lebih dikenal seperti Conti, LockBit, dan BlackCat karena Maui tidak memiliki catatan tebusan tertanam dengan instruksi pemulihan, dan tampaknya dioperasikan secara manual oleh penyerang melalui baris perintah. Stairwell mencatat Maui menggunakan strategi serupa untuk mengenkripsi file yang digunakan Conti pada tahun 2021.

FBI mengatakan bahwa sejak Mei 2021 telah menanggapi beberapa insiden ransomware Maui di organisasi perawatan kesehatan di mana berbagai layanan perawatan kesehatan TI ditargetkan untuk enkripsi.

“Aktor siber yang disponsori negara Korea Utara menggunakan Maui ransomware dalam insiden ini untuk mengenkripsi server yang bertanggung jawab atas layanan kesehatan — termasuk layanan catatan kesehatan elektronik, layanan diagnostik, layanan pencitraan, dan layanan intranet,” kata badan tersebut dalam peringatan tersebut.

“Dalam beberapa kasus, insiden ini mengganggu layanan yang disediakan oleh organisasi Sektor HPH yang ditargetkan untuk waktu yang lama. Vektor akses awal untuk insiden ini tidak diketahui.”

Mengingat bahwa agensi tidak tahu bagaimana penyerang awalnya mendapatkan akses ke jaringan korban, mereka memperingatkan organisasi untuk berhati-hati terhadap vektor serangan yang biasa, termasuk email phishing dan serangan pada layanan Remote Desktop Protocol (RDP) dan infrastruktur desktop virtual.

Ini juga mendesak organisasi kesehatan untuk menyebarkan kriptografi kunci publik dan sertifikat digital untuk mengotentikasi koneksi dengan jaringan, perangkat medis Internet of Things, dan sistem catatan kesehatan elektronik.

Desain Maui untuk menargetkan file dan sektor tertentu secara selektif sangat berbeda dengan WannaCry, satu-satunya ransomware lain yang dikaitkan dengan aktor yang disponsori negara Korea Utara dalam tinjauan ancaman cyber Korea Utara CISA.

Sebagian besar peringatan baru-baru ini tentang ancaman dunia maya dari Korea Utara berkaitan dengan peretasan besar pada pertukaran mata uang kripto oleh kelompok Lazarus dan sub-kelompoknya.

MELIHAT: Peretas ini menyebarkan ransomware sebagai pengalih perhatian – untuk menyembunyikan mata-mata dunia maya mereka

Peringatan tersebut secara khusus menyoroti peringatan ransomware dari Departemen Keuangan yang diperbarui pada September 2021, yang memperingatkan sanksi dan risiko bagi organisasi yang melakukan pembayaran ransomware kepada kelompok yang ditunjuk oleh Kantor Pengawasan Aset Asing Departemen Keuangan (OFAC).

OFAC menetapkan Lazarus Group dan dua sub-grup pada September 2019.

Pelanggaran sanksi dapat diperlakukan secara lebih hati-hati jika insiden dan pembayaran uang tebusan dilaporkan oleh korban kepada penegak hukum.

“Penasihat yang diperbarui menyatakan bahwa ketika pihak-pihak yang terkena dampak mengambil langkah-langkah proaktif ini, Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan akan lebih mungkin menyelesaikan pelanggaran sanksi nyata yang melibatkan serangan ransomware dengan respons penegakan non-publik,” catatan peringatan itu.

AS memperkuat aturan bagi agen federal untuk melaporkan insiden keamanan siber dan pembayaran ransomware melalui Memperkuat Undang-Undang Keamanan Siber Amerika, yang disahkan oleh Senat pada bulan Maret.

Leave a Reply

Your email address will not be published.