Специалисты обнаружили крайне опасный вирус, который принадлежит северокорейским хакерам. Судя по всему, злоумышленники нападают исключительно на предприятия из сферы здравоохранения. Используют они для этого шифровальщик, который активно ворует данные пользователей. Поскольку под угрозой оказались медицинские организации, за расследование взялись специалист из различных ведомств. Подробнее про их работу рассказал эксперт, который преподает CCNA Cyber Ops Литва.
Что известно про Maui, CCNA Cyber Ops Литва
Начать стоит с того, что с весны 2021 года в сети появился крайне опасный шифровальщик, который получил название Maui. Атаковал он исключительно организации, которые задействованы в сфере здравоохранения. Особенно пострадали различные предприятия в США. Злоумышленники воровали ценные сведения, а потом внедряли в систему шифровальщик. Судя по всему, он должен был частично маскировать их шпионскую деятельность. Чтобы не подвергать риску всю систему здравоохранения в стране, за расследование инцидента взялись лучшие из лучших. В результате в следственную группу вошли представители Министерства финансов США, CISA и ФРБ. Кроме того, среди них было несколько специалистов, которые работали над улучшением Cisco CCNA Cyber Ops Литва.
В ходе расследования эксперты смогли выяснить множество фактов про злоумышленников. В частности, они установили, что операторы Maui являются выходцами из Северной Кореи. То есть по сути работают на северокорейское правительство, которое активно спонсирует хакерские группировки. Кроме того эксперты установили, что целью злоумышленников было нарушение работы медицинских организаций. Ведь шифровальщик не только может похищать данные и зашифровывать сведения. В первую очередь он нарушает работу всей системы. И пока данные не подвергнутся дешифровке, работать невозможно. Как оказалось, операторы Maui делали все для того, чтобы повредить работу:
- диагностических программ;
- электронных медкарт;
- программ для обмена служебными сообщениями.
Дополнительно стоит отметить, что преступники использовали одну и ту же тактику для взлома внутренних сетей. Однако пока специалистам так и не удалось определить, как именно происходила компрометация.
Чем закончилась серия атак Maui
Исследователи провели большое количество времени за изучением тактик и стратегий операторов Maui. По всей видимости, злоумышленники основательно подходят к взлому сети каждой конкретной компании. Скорее всего, делают они то вручную, а не при помощи автоматических алгоритмов взлома. Более того, попав в систему хакеры начинают искать определенные данные. И уже потом внедряют в систему шифровальщик Maui, который шифрует конкретные файлы. Такой подход позволяет очень быстро вывести необходимые системные компоненты из строя. И, как утверждает эксперт Cisco CCNA Security Литва, делают они это не для материальной выгоды.
Как удалось установить, хакеры Maui ни разу не потребовали у своих жертв выкуп за ключ дешифровки. К тому же, они не предлагают выкупить похищенные сведения. А также при шифровании файлов применяются сразу два ключа. Что существенно осложняет процесс дешифровки. Таким образом становится очевидным, что злоумышленники в первую очередь делают это для того, чтобы навредить системе безопасности США. Пока нет никакой информации о том, насколько эффективно удается бороться с атаками и их последствием. Но аналитик, проводящий курсы кибербезопасности Cisco Литва, напоминает, что затронуть атака шифровальщика может каждого.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.