O ransomware Maui que tem sido usado contra as operações de saúde dos EUA foi vinculado ao Andariel, uma ameaça patrocinada pelo estado norte-coreano com links para o notório Grupo Lazarus.
Pesquisadores da Kaspersky disseram isso semana em que conseguiram rastrear as origens de Maui até abril de 2021 – um mês antes do que a cepa havia sido relatada anteriormente. Um exame dos registros de dados também mostrou algumas informações interessantes sobre como o ataque foi implantado antecipadamente.
Cerca de 10 horas antes do ataque de abril de Maui, os criminosos inseriram uma variante do malware DTrack no alvo . A Kaspersky também observou a presença da ferramenta 3Proxy – usada para acessar recursos internos – por vários meses antes da implantação do ransomware em uma empresa de habitação japonesa sem nome.
“Este ponto de dados, junto com outros, deve ajudar abertamente a solidificar a atribuição ao APT Andariel de língua coreana, também conhecido como Silent Chollima e Stonefly”, escreveram os pesquisadores em um relatório.
Andariel está ativo desde 2015, executando ataques para roubar dados e trazer receitas para o regime norte-coreano. Os alvos do grupo têm sido principalmente a Coréia do Sul e outros países asiáticos, bem como o lucrativo mercado americano.
No mês passado, o Departamento de Estado dos EUA incluiu Andariel em uma lista de ameaças patrocinadas pelo Estado norte-coreano grupos – incluindo Lazarus, bem como BlueNoroff, Guardiões da Paz e Kimsuky – que a agência está mirando com uma recompensa de US$ 10 milhões por informações sobre as gangues e seus operadores. O Departamento de Estado disse que esses grupos têm como alvo infraestrutura crítica dentro da pátria.
Pesquisadores da Kaspersky, apontando para a construção de timestamps, sugeriram que o ataque à organização japonesa foi provavelmente o primeiro envolvendo o ransomware Maui, que foi chamou muita atenção no ano passado. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o FBI emitiram no início de julho um alerta sobre Maui, observando sua conexão com grupos de ameaças norte-coreanos e seu direcionamento a organizações de saúde dos EUA.
Naquele mês, o Departamento de Justiça e o FBI também disseram que conseguiram recuperar cerca de US$ 500.000 que as unidades de saúde pagaram em resgate durante os ataques de Maui, recuperando o dinheiro rastreando-o através do blockchain e identificação de contas usadas para lavar o digicash na China.
Enquanto a CISA observou em seu alerta no mês passado que os setores de saúde e saúde pública eram os principais alvos de Maui nos EUA, dizem os analistas da Kaspersky eles não acreditam que a operação vá atrás de indústrias específicas como padrão e que seu alcance se estenda muito além dos EUA e da Ásia.
“Nossa pesquisa sugere que o ator é bastante oportunista e pode comprometer qualquer empresa ao redor do mundo, independentemente de sua linha de negócios, desde que goze de boa situação financeira”, escreveram. “É provável que o ator favoreça serviços da Web vulneráveis expostos à Internet. Além disso, o Andariel implantou ransomware seletivamente para obter lucros financeiros.” malware DTrack no incidente do Japão e observou que a mesma variante DTrack foi usada em outros ataques na Rússia, Vietnã e Índia durante o mesmo período.
“O objetivo principal desse malware é o mesmo que no caso da vítima mencionada no Japão, usando diferentes credenciais de login e endereço IP local para exfiltrar dados”, escreveram. operações da Andariel, segundo os pesquisadores. Os vetores de ataque incluíam o uso de um proxy legítimo e ferramentas de encapsulamento após a infecção inicial ou seu uso para manter o acesso, bem como o uso de scripts do PowerShell e Bitsadmin para baixar malware adicional.
Outras semelhanças incluíam o uso de explorações para direcionar serviços públicos vulneráveis conhecidos e não corrigidos, incluindo WebLogic e HFS, implantando exclusivamente o DTrack, residindo em redes direcionadas por meses e implantando ransomware em escala global.
