Die US-amerikanischen Behörden CISA, FBI und Finanzministerium haben eine gemeinsame Warnung vor nordkoreanisch-staatlichen Cybergangs veröffentlicht, die Organisationen aus dem Gesundheitswesen mit einer Ransomware namens Maui angreifen. Sie geben Hinweise, wie die Malware zu erkennen ist – Indicators of Compromise, IoCs, genannte Dateihashes. Zudem sollen Tipps bei der Vorbeugung von Malwarebefall helfen. Die Maui-Malware kommt seit Mai 2021 zum Einsatz, um damit Organisationen aus dem Gesundheitsbereich anzugreifen. Nordkoreanische Cyber-Akteure hätten damit etwa Server verschlüsselt, die Gesundheitsakten vorhalten, Diagnosedienste bereitstellen, für Bildgebung verantwortlich zeichnen und Intranetdienste anbieten. Einige Betriebe waren dadurch für längere Zeit lahmgelegt. Diese Ziele haben die Cyberkriminellen wahrscheinlich deshalb ausgewählt, da sie eher bereit sind, Lösegeld zu zahlen – immerhin geht es mitunter um Menschenleben, mutmaßen die Autoren. Den Behörden zufolge chiffriert Maui die Zieldateien mit AES-128-Bit-Verschlüsselung. Jede Datei erhält dabei ihren eigenen AES-Schlüssel. Zudem speichert ein Datei-Header Informationen wie den ursprünglichen Dateipfad sowie verschlüsselte Kopien des AES-Schlüssels und kann daran zuvor bereits verschlüsselte Dateien erkennen. Jeder AES-Schlüssel wird mittels RSA-Verschlüsselung kodiert. Der öffentliche (maui.key) sowie der private (maui.evd) RSA-Schlüssel liegen im gleichen Verzeichnis wie die Malware (maui.exe). Der öffentliche RSA-Schlüssel wird nochmals mit XOR kodiert, wobei der XOR-Schlüssel aus Festplatteninformationen von \\.\PhysicalDrive0
generiert wird. Weiterhin schlagen die Autoren Maßnahmen vor, mit denen IT-Verantwortliche in Gesundheitseinrichtungen die IT-Infrastruktur besser vor solchen Ransomware-Angriffen schützen können. So sollten sie Datenzugriffe begrenzen, indem sie eine Public-Key-Infrastruktur und digitale Zertifikate zur Authentifizierung am Netzwerk, IoT-Medizingeräten und elektronischen Gesundheitsaktensystem einführen. Anstatt administrativer Zugänge sollten Standard-Benutzerkonten auf Systemen eingerichtet werden. Richtung Internet sollten Administratoren Dienste wie Telnet, SSH, Winbox und HTTP entweder abschotten oder wo doch externe Zugänge nötig sind, diese mit starken Passwörtern und Verschlüsselung schützen. Patientendaten sollten geschützt und verschlüsselt werden, bei Datentransporten etwa TLS zum Einsatz kommen. Außerdem sollten Offline-Backups, die physikalisch von den Geräten getrennt werden, eingerichtet und deren Wiederherstellung regelmäßig getestet werden. Zudem sollten IT-Verantwortliche auch einen Cyber-Vorfall-Notfallplan erstellen, prüfen und üben. Viele weitere, eigentlich bekannte Hinweise sowie die Dateihashes (IoCs) finden sich in der gemeinsamen Meldung des FBI, der CISA und des US-Finanzministeriums. Die Autoren raten zudem dringend davon ab, Lösegeld zu zahlen. Das garantiere nicht, dass die Dateien wiedererlangt würden, und stelle sogar ein Sanktionsrisiko dar. Deutsche namhafte IT-Sicherheitsexperten stoßen in dasselbe Horn und haben Lösegeldzahlungen bei Ransomware als Wurzel allen Übels ausgemacht – und fordern gar einen gesetzlichen Rahmen, der einem Verbot von Lösegeldzahlung nahekommt.