FBI, CISA e Dipartimento del Tesoro degli Stati Uniti hanno emesso un comunicato congiunto per fornire informazioni su Maui, un ransomware utilizzato da cybercriminali nordcoreani finanziati dal governo per effettuare attacchi contro ospedali e organizzazioni che operano nel settore della sanità. Oltre ai dettagli tecnici del malware, il documento suggerisce le misure da attuare per ridurre i rischi, tra cui l’uso di una soluzione di sicurezza.
Maui attacca le organizzazioni sanitarie
Il ransomware Maui è in circolazione da maggio 2021, quando sono stati rilevati i primi attacchi contro i server delle organizzazioni che offrono servizi sanitari ai cittadini. Al momento non è stata individuata la modalità di accesso iniziale, ovvero come viene effettuata l’intrusione nella rete interna. Sono note invece le fasi successive. Il ransomware viene controllato da remoto dai cybercriminali che utilizzano un’interfaccia a linea di comando per identificare i file da cifrare.
In maniera analoga al ransomware Conti, Maui sfrutta una procedura a tre livelli. I file vengono cifrati con l’algoritmo AES. Ogni file ha una chiave unica a 16 bit. Ogni chiave AES viene cifrata con l’algoritmo RSA, usando una coppia di chiavi generate durante l’esecuzione di Maui. Infine le due chiavi RSA sono cifrate con un’altra chiave RSA pubblica hard-coded (memorizzata alla fine del file eseguibile).
Al termine dell’operazione viene ovviamente creato il file di testo che contiene le istruzioni per pagare il riscatto. Le organizzazioni sanitarie devono seguire varie misure per ridurre i rischi, come effettuare backup frequenti (offline), installare gli aggiornamenti dei software e utilizzare un antivirus.