Nos últimos meses, vimos muitos ataques de ransomware serem direcionado a diversas empresas. Um desses ransomwares é o Maui. O primeiro incidente possivelmente envolvendo essa família de ransomware ocorreu em 15 de abril de 2021, visando uma empresa de habitação japonesa sem nome. Agora, pesquisadores descobriram detalhes do ataque desse ransomware.
Especialistas descobrem detalhes do ataque do ransomware Maui
As descobertas foram realizadas por especialistas da Kaspersky, que as divulgaram um mês depois que as agências de cibersegurança e inteligência dos EUA emitiram um aviso sobre o uso da cepa de ransomware por hackers apoiados pelo governo norte-coreano para atingir o setor de saúde desde pelo menos maio de 2021.
Muitos dos dados sobre seu modus operandi vieram de atividades de resposta a incidentes e análise do setor de uma amostra de Maui que revelou a falta de “vários recursos-chave” normalmente associados a operações de ransomware como serviço (RaaS). O Maui não é apenas projetado para ser executado manualmente por um ator remoto por meio de uma interface de linha de comando, mas também é notável por não incluir uma nota de resgate para fornecer instruções de recuperação.
Posteriormente, o Departamento de Justiça anunciou a apreensão de US$ 500.000 (aprox. 2,5 mi) em Bitcoin que foram extorquidos de várias organizações, incluindo duas unidades de saúde nos estados americanos de Kansas e Colorado, usando a cepa de ransomware.
De acordo com as informações, embora esses ataques tenham sido direcionados a grupos de ameaças persistentes avançadas da Coreia do Norte, a empresa russa de segurança cibernética vinculou o cibercrime com confiança baixa a média a um subgrupo Lazarus conhecido como Andariel, também conhecido como Operação Troy, Silent Chollima e Stonefly.
“Aproximadamente dez horas antes de implantar Maui no sistema alvo inicial [em 15 de abril], o grupo implantou uma variante do conhecido malware Dtrack no alvo, precedido por 3proxy meses antes”, disseram os pesquisadores da Kaspersky Kurt Baumgartner e Seongsu Park. Dtrack, também chamado de Valefor e Preft, é um trojan de acesso remoto usado pelo grupo Stonefly em seus ataques de espionagem para exfiltrar informações confidenciais.
Vale ressaltar que o backdoor, juntamente com o 3proxy, foi implantado pelo agente da ameaça contra uma empresa de engenharia que atua nos setores de energia e militar em fevereiro de 2022, explorando a vulnerabilidade Log4Shell.
Além disso, a Kaspersky disse que a amostra Dtrack usada no incidente japonês de Maui também foi usada para violar várias vítimas na Índia, Vietnã e Rússia de dezembro de 2021 a fevereiro de 2021.
Este não é o primeiro encontro de Andariel com ransomware como meio de obter ganhos monetários para a nação atingida pelas sanções. Em junho de 2021, foi revelado que uma entidade sul-coreana foi infectada por malware de criptografia de arquivos após um elaborado procedimento de infecção em vários estágios que começou com um documento do Word armado.
