maui-ransomware - RunkIntel

# Maui Ransomware > [!high] Ransomware Operado Manualmente - DPRK contra Saúde > Maui é um ransomware customizado da Coreia do Norte, operado manualmente pelo grupo **Andariel** (subgrupo do Lazarus), utilizado contra organizações de saúde nos EUA desde maio de 2021. Diferentemente de ransomware automatizado, o Maui requer operação manual interativa pelo atacante, indicando operação estatal de precisão voltada ao financiamento do programa nuclear da DPRK. ## Visão Geral Maui é um ransomware desenvolvido pela unidade [[g0138-andariel]] do [[g0032-lazarus-group]] da Coreia do Norte (DPRK), identificado pelo FBI em julho de 2022 após investigações de ataques contra o setor de saúde americano. O malware é singular entre ransomwares por não possuir função de auto-propagação nem implantação automatizada - cada ataque requer operação manual ativa por um operador norte-coreano durante toda a execução. Esta característica de operação manual reflete a motivação do grupo: o governo da DPRK financia operações cibernéticas como fonte de receita para contornar sanções internacionais. Ataques de ransomware contra hospitais americanos geram pagamentos em dólar ou criptomoedas que financiam o programa de armas nucleares e balísticas do regime. A escolha do setor de saúde como alvo maximiza a pressão pelo pagamento rápido, dado o impacto crítico em vidas humanas. Em 2022, o FBI e a CISA públicaram o aviso conjunto AA22-187A específicamente sobre o Maui, alertando que o grupo comprometeu hospitais e sistemas de saúde nos EUA entre maio de 2021 e maio de 2022, incluindo pelo menos um grande hospital universitário que ficou sem acesso a sistemas críticos por mais de uma semana. ## Como Funciona **Entrega e acesso inicial:** O acesso inicial ao ambiente alvo tipicamente ocorre via exploração de vulnerabilidades em VPNs e RDP públicos, ou via spear-phishing direcionado a funcionários hospitalares. O [[g0138-andariel]] usa ferramentas customizadas de reconhecimento antes de implantar o Maui. **Processo de criptografia manual:** 1. Operador acessa o ambiente via backdoor ou ferramenta de acesso remoto 2. Reconhecimento manual dos sistemas e arquivos de maior valor (HIS, PACS, EMR) 3. Seleção manual dos arquivos e diretórios alvo para criptografia 4. Execução do Maui com parâmetros específicos por linha de comando 5. Criptografia seletiva por tipo de arquivo: RSA para chaves AES, AES-128 para arquivos 6. XOR adicional com chave derivada do nome do arquivo para obfuscação 7. Nota de resgate gerada com instruções para contato via email **Características técnicas:** - Implementado em C++ com criptografia híbrida (AES-128 + RSA-2048) - Sem capacidade de autopropagação - Sem comunicação C2 automática durante a criptografia - Logs locais de operações para rastreamento interno do atacante ## Attack Flow ```mermaid graph TB A["🎯 Alvo Hospitalar EUA - setor saúde sistemas críticos"] --> B["🔓 Acesso Inicial VPN/RDP explorado spear-phishing"] B --> C["👁️ Reconhecimento Manual Operador DPRK identifica HIS, PACS, EMR"] C --> D["⬆️ Escalada Credenciais admin movimento lateral"] D --> E["📦 Implantação Maui Executável via linha de comando"] E --> F["🔒 Criptografia Seletiva AES-128 + RSA-2048 arquivos críticos"] F --> G["💰 Extorsão Contato por email pagamento em cripto"] G --> H["🏥 Impacto Crítico Sistemas de saúde indisponíveis"] ``` **Legenda:** [[g0138-andariel]] · [[g0032-lazarus-group]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1082-system-information-discovery|T1082]] ## Timeline ```mermaid timeline title Maui Ransomware - Linha do Tempo 2021-05 : Primeiros ataques : Hospitais americanos afetados : Operação DPRK iniciada 2021-2022 : Campanha sustentada : Pelo menos 1 hospital universitário : FBI inicia investigação 2022-07 : Aviso conjunto FBI e CISA : AA22-187A publicado : DPRK Andariel atribuídos 2022-07 : Análise técnica : Stairwell publica relatório : Detalhes do encryptor revelados 2023-2024 : Evolução das operações : Andariel usa novas ferramentas : Maui em menor uso ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-128 + RSA-2048, seleção manual de alvos | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução via parâmetros de linha de comando | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento manual de sistemas críticos | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de arquivos HIS, PACS, EMR | | Clear Windows Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Remoção de logs para anti-forense | | Process Injection | [[t1055-process-injection\|T1055]] | Injeção em processos legítimos | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas auxiliares | ## Relevância para o Brasil e LATAM O grupo [[g0138-andariel]] e o padrão de ataques ao setor de saúde têm implicações diretas para o Brasil: **Histórico do Andariel na LATAM:** - O grupo [[g0138-andariel]] realizou ataques contra hospitais e centros de pesquisa na América do Sul em 2022-2024 - Hospitais brasileiros de grande porte (especialmente universitários e federais) são alvos potenciais pelo valor estratégico dos dados - O setor de [[healthcare|saúde]] brasileiro tem baixa maturidade de segurança e alta dependência de sistemas legados **Contexto geopolítico:** - A DPRK usa ataques de ransomware a hospitais como fonte de receita para contornar sanções da ONU - O Brasil não impõe sanções à DPRK bilateralmente, mas organizações brasileiras vinculadas a parceiros americanos podem ser alvos indiretos **Implicações regulatórias:** - O Ministério da Saúde públicou alertas específicos sobre ransomware em hospitais após os ataques americanos - A [[lgpd|LGPD]] e as normas da ANS exigem notificação imediata de incidentes que comprometam dados de pacientes brasileiros ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Maui Ransomware (TLP:GREEN) > **Extensão de arquivo criptografado:** > `.maui` adicionado aos arquivos originais > > **Nota de resgate:** > `README.html` com instruções de contato por email > > **Artefatos de log:** > Arquivo de log gerado pelo Maui em diretório temporário > Registros de operações manuais do atacante no sistema > > **Fonte:** [FBI/CISA AA22-187A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) · [Stairwell Analysis](https://stairwell.com) **Mitigações prioritárias:** - Implementar backups offline e testados para sistemas HIS, PACS e EMR hospitalares - Restringir acesso VPN e RDP com MFA obrigatório para funcionários hospitalares - Segmentar redes médicas (IoMT) da rede administrativa - Monitorar execução de processos com parâmetros de criptografia de arquivos em lote - Manter inventário de sistemas críticos e plano de continuidade de negócios testado ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) FBI/CISA/Treasury - StopRansomware: Maui Ransomware AA22-187A (2022) - [2](https://stairwell.com/news/threat-research-report-maui-ransomware/) Stairwell - Maui Ransomware Technical Analysis (2022) - [3](https://attack.mitre.org/software/S1167/) MITRE ATT&CK - Maui S1167 - [4](https://www.mandiant.com/resources/blog/north-korea-dprk-cyber-threat) Mandiant - DPRK Cyber Operations and Revenue Generation (2022) - [5](https://www.bleepingcomputer.com/news/security/fbi-shares-iocs-for-north-korean-maui-ransomware-operations/) BleepingComputer - FBI Shares IOCs for North Korean Maui Ransomware (2022) - [6](https://www.hhs.gov/sites/default/files/maui-ransomware-analyst-note.pdf) HHS - Maui Ransomware Analyst Note for Healthcare (2022)