Dagli Stati Uniti arrivano segnalazioni di un nuovo attacco ransomware proveniente dalla Corea del Nord. Una dichiarazione congiunta di FBI, e CISA (Cybersecurity and Infrastructure Security Agency) e Dipartimento del Tesoro dice che il malware, chiamato Maui e finanziato dal governo di Kim Jong-un, è stato usato almeno da maggio 2021 e punta principalmente alle aziende che operano nel settore della sanità.
Non sono chiari esattamente i metodi e le procedure di infezione, ma a giudicare dalla nota informativa è lecito dedurre che gli hacker inducano in qualche modo l’utente a scaricare e installare il file (chiamato semplicemente maui.exe) sul proprio computer Windows, che poi si propaga su tutta la rete e si adopera per criptare dati ben precisi – per esempio copie digitali delle cartelle cliniche, servizi diagnostici, servizi di imaging e infrastrutture intranet. A quanto pare è controllato direttamente da un hacker tramite riga di comando, e non opera automaticamente.
Maui cripta tutti i contenuti con la cifratura AES 128, dopodiché chiede il pagamento di una somma di denaro (naturalmente in criptovalute) per fornire la chiave di decriptazione. Le autorità suggeriscono di evitare di pagare perché non c’è garanzia che i file saranno effettivamente sbloccati e, soprattutto, di mantenere offline e fisicamente disconnesse dalla rete le unità di backup più importanti in modo che non vengano a loro volta compromesse e un ripristino dei dati ragionevolmente recente sia possibile.