# Maui Ransomware - Campanha Healthcare DPRK > [!critical] Coreia do Norte usa Maui para financiar inteligência via ataques a hospitais > O **Maui Ransomware** é uma ferramenta desenvolvida e operada exclusivamente pelo **Andariel** (DPRK) para ataques direcionados ao setor de **saúde** americano e asiático desde pelo menos 2021. Ao contrário de ransomwares convencionais com modelo RaaS, o Maui não possui site público de vazamentos e é operado manualmente por operadores norte-coreanos - sinalizando uma operação estatal disfarçada de cibercrime. ## Visão Geral O Maui Ransomware é uma ferramenta de ransomware customizada do [[g0138-andariel]] que ganhou atenção pública significativa em julho de 2022, quando o FBI, CISA e Departamento do Tesouro dos EUA emitiram um alerta conjunto documentando seu uso contra organizações de saúde americanas desde pelo menos maio de 2021. O nome "Maui" refere-se a strings encontradas no código do malware. O que torna o Maui técnicamente distinto de ransomwares comuns é sua operação completamente manual: não há componente automático de propagação ou deploy em massa. Cada vítima é comprometida individualmente, com operadores norte-coreanos do [[g0138-andariel]] executando o ransomware manualmente após reconhecimento extensivo da rede alvo. Isso sugere que cada ataque é uma operação planejada individualmente, não uma campanha oportunista de grande escala. A escolha exclusiva do setor de saúde como alvo revela a lógica estratégica: hospitais e sistemas hospitalares processam dados altamente sensíveis (prontuários, pesquisas médicas, dados de seguradoras), geram pressão máxima para pagamento de resgates (interrupção de serviços pode colocar vidas em risco) e historicamente têm níveis mais baixos de maturidade em segurança cibernética. Para um Estado que precisa gerar receita de forma discreta, hospitais são alvos quase ideais. Para o Brasil, o setor de [[healthcare]] representa uma vulnerabilidade crítica: hospitais públicos e privados, laboratórios e operadoras de planos de saúde muitas vezes operam com infraestrutura de TI desatualizada e orçamentos de segurança limitados. O [[cert-br]] e a ANS (Agência Nacional de Saúde Suplementar) têm emitido alertas crescentes sobre a ameaça ransomware ao setor no país. ## Análise Técnica ### Características Únicas do Maui ```mermaid graph TB A["🔒 Maui Ransomware<br/>Ferramenta DPRK exclusiva"] --> B["❌ Sem propagação automática<br/>Operação 100% manual"] A --> C["❌ Sem site de vazamentos<br/>Não é RaaS público"] A --> D["✅ Criptografia seletiva<br/>AES + RSA + XOR por arquivo"] A --> E["✅ Log de operações<br/>Registra ações no host"] B --> F["Implicação: Cada vítima<br/>é alvo deliberado"] C --> F ``` ### Algoritmo de Criptografia O Maui implementa criptografia em três camadas por arquivo: | Camada | Algoritmo | Chave | |--------|-----------|-------| | 1 | AES-128 CBC | Gerada por arquivo | | 2 | RSA-2048 | Chave pública do operador | | 3 | XOR | Chave de configuração específica do deploy | ### Cadeia de Operação ```mermaid graph TB A["🎯 Seleção Manual do Alvo<br/>Hospital / Sistema de Saúde"] --> B["💥 Exploração de Serviços Expostos<br/>VPNs / RDP sem MFA / Exchange"] B --> C["🔍 Reconhecimento Extensivo<br/>Mapeamento de sistemas críticos<br/>EHR / PACS / sistemas de UTI"] C --> D["⚙️ Execução Manual do Maui<br/>Operador executa ransomware<br/>nos sistemas críticos identificados"] D --> E["🔒 Criptografia Seletiva<br/>Foco em dados de pacientes<br/>e sistemas hospitalares"] E --> F["💰 Negociação de Resgate<br/>Comúnicação direta com vítima<br/>via notas e e-mail"] ``` ### Setores e Alvos Confirmados | Organização | País | Impacto | |-------------|------|---------| | Sistemas hospitalares (múltiplos) | EUA | Interrupção de serviços clínicos | | Serviços de saúde públicos | Japão | Acesso a dados de pacientes | | Institutos médicos | Coreia do Sul | Roubo de pesquisa médica | ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de VPNs e RDP expostos | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES+RSA+XOR por arquivo | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de backups e shadow copies | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Roubo de dados de saúde | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Abuso de credenciais roubadas | ## Diferença entre Maui e H0lyGh0st Ambos são ransomwares DPRK, mas com perfis distintos: | Aspecto | Maui | H0lyGh0st | |---------|------|-----------| | Operador | Andariel (Gov DPRK) | DEV-0530 (DPRK) | | Alvo | Hospitais grandes | PMEs globais | | Operação | Manual, seletiva | Semi-automática | | Site de vazamentos | Não | Sim | | Comúnicação | Mínima | Prolífica / pública | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - Maui Ransomware (TLP:GREEN) > **Extensão Maui:** > Extensão derivada do hostname da vítima (única por comprometimento) > > **Log do Maui:** > Arquivo de log local com registro das operações de criptografia > > **Comportamento de processo:** > - Processo com linha de comando que específica diretórios alvo de criptografia > - Leitura massiva de arquivos em diretórios clínicos (EHR, DICOM) > - Deleção de shadow copies imediatamente antes da criptografia > > **Fontes:** [CISA Advisory AA22-187A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) · [HHS Health Sector Alert](https://www.hhs.gov/sites/default/files/maui-ransomware.pdf) ### Mitigações Específicas para Healthcare 1. **Segmentação obrigatória**: Isolamento de EHR, PACS e sistemas de UTI em VLANs separadas 2. **Backup air-gapped**: Cópias offline testadas mensalmente para sistemas de prontuário 3. **MFA em VPN**: Autenticação multifator obrigatória para qualquer acesso remoto 4. **Plano de continuidade**: Procedimentos para operação manual de processos críticos durante ataque 5. **Treinamento**: Equipes clínicas devem saber como responder a indisponibilidade de sistemas ## Referências - [CISA Advisory AA22-187A - DPRK Healthcare Ransomware (Maui)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) - [HHS HC3 - Maui Ransomware Analyst Note](https://www.hhs.gov/sites/default/files/maui-ransomware.pdf) - [FBI/Treasury/CISA Joint Advisory on DPRK Cryptocurrency Laundering](https://www.ic3.gov) - [MITRE ATT&CK - Andariel (G0138)](https://attack.mitre.org/groups/G0138/)