朝鲜毛伊岛勒索软件积极针对美国医疗机构

在一项新的联合网络安全咨询中，美国网络安全和情报机构警告说，至少自2021 5月以来，朝鲜政府支持的黑客就使用毛伊岛勒索软件攻击医疗保健行业。

“朝鲜国家资助的网络参与者在这些事件中使用毛伊岛勒索软件加密负责医疗服务的服务器，包括电子健康记录服务、诊断服务、成像服务和内部网服务，”当局指出。

该警报由美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和财政部提供。

网络安全公司Stairwell的调查结果构成了该咨询的基础。该公司表示，鲜为人知的勒索软件家族之所以引人注目，是因为它缺乏几个通常与勒索软件即服务（RaaS）组织相关的关键特征。

安全研究员西拉斯·卡特勒（Silas Cutler）在勒索软件的技术概述中表示，这包括没有“提供恢复指令的嵌入式勒索说明或向攻击者传输加密密钥的自动方法”。

相反，对毛伊岛样本的分析表明，该恶意软件是为远程参与者通过命令行界面手动执行而设计的，使用它来针对受感染机器上的特定文件进行加密。

除了使用具有唯一密钥的AES 128位加密对目标文件进行加密外，这些密钥中的每一个都使用首次执行Maui时生成的密钥对用RSA进行加密。作为第三层安全性，RSA密钥使用每个活动特有的硬编码RSA公钥进行加密。

在某些情况下，勒索软件事件据说已长时间扰乱了卫生服务。用于进行入侵的初始感染媒介尚不清楚。

值得注意的是，这场运动的前提是医疗机构愿意支付赎金，以迅速从攻击中恢复，并确保不间断地获得关键服务。这是最新的迹象，表明朝鲜的对手正在调整他们的策略，为这个资金短缺的国家非法创造源源不断的收入。

这就是说，APT集团使用手动勒索软件家族也增加了这样一种可能性，即该操作可能是一种转移注意力的策略，旨在掩盖其他恶意动机，正如最近在青铜星光案中所观察到的那样。

iboss联合创始人彼得·马蒂尼（PeterMartini）在一份声明中表示：“由国家发起的勒索软件攻击已成为典型的国际侵略行为”。“不幸的是，朝鲜明确表示，它非常愿意不分青红皂白地针对包括医疗保健在内的各个行业，以确保为其核武器计划提供资金的无法追踪的加密货币”。