Importante numero di segnali correlati fanno percepire attribuzioni in comune tra il ransomware Maui e il gruppo Andariel. Le ricerche di intelligence sul codice malware è il primo passo per l’identificazione criminale
Un gruppo di hacker sponsorizzato dallo stato nordcoreano, Andariel, è stato collegato al ransomware Maui. Il gruppo sta lavorando per guadagni finanziari, oltre a causare interruzioni e disfunzionamenti in Corea del Sud.
Maui e Andariel collegamento
I ricercatori di Kaspersky hanno osservato le TTP (tecniche, tattiche e procedure) utilizzate in un incidente ransomware Maui e ne hanno trovato similarità con l’attività passata di Andariel (aka Stonefly/Silent Chollima).
- Entrambi hanno utilizzato strumenti proxy e tunneling originali dopo l’infezione iniziale o per mantenere l’accesso e hanno utilizzato script Powershell insieme a Bitsadmin per scaricare più minacce.
- Un uso simile di exploit per prendere di mira difetti noti ma senza patch nei servizi pubblici. Ad esempio, server WebLogic e HFS.
- Hanno distribuito esclusivamente DTrack, (aka Preft), e quindi il tempo trascorso all’interno delle reti delle vittime è durato mesi prima di qualsiasi attività.
- Inoltre, gli aggressori avevano distribuito ransomware in tutto il mondo, implicando le loro continue motivazioni finanziarie e il loro interesse.
Di recente, l’FBI ha emesso avvertimenti in merito al ransomware Maui e ha condiviso IoC (indicatori di compromissione) che puntano il dito contro gli attori delle minacce nordcoreani.
Uso di DTrack e 3Proxy
In un altro attacco di Andariel, la vittima è stata colpita utilizzando il malware DTrack poche ore prima della crittografia. L’analisi del registro ha ulteriormente rivelato l’esistenza e l’uso dello strumento 3Proxy nella rete dell’azienda mesi prima.
- DTrack è un malware modulare utilizzato nel furto di dati e nell’esfiltrazione HTTP utilizzando i comandi di Windows. 3Proxy è un’utilità server proxy open source utilizzata in più campagne Andariel.
- Gli aggressori hanno utilizzato il ransomware Maui per crittografare i server nei servizi sanitari, come cartelle cliniche elettroniche, servizi di diagnostica, servizi di imaging e servizi intranet.
La variante DTrack utilizzata negli attacchi contro aziende giapponesi, russe, indiane e vietnamite aveva una somiglianza del codice dell’84% con i campioni direttamente collegati alle precedenti operazioni di Andariel.
L’operazione di ransomware Maui apparentemente ha una connessione con Andariel. Pertanto, l’utilizzo degli IoC forniti può essere utile per il rilevamento e la prevenzione in tempo reale. Le organizzazioni dovrebbero sfruttare i servizi di intelligence sulle minacce per identificare rapidamente i TTP e ottenere suggerimenti sulla soluzione migliore contro tali minacce.
