.
O FBI e outras agências estão alertando para um aumento no ransomware da Daixin Team e nos ataques de extorsão de dados a provedores de saúde.
O Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA) e o Department of Health and Human Services (HHS) emitiram um aviso conjunto sobre a atividade da Daixin Team contra o setor de saúde e saúde pública desde junho de 2022.
O grupo usou ransomware para criptografar servidores que prestam serviços para registros eletrônicos de saúde, diagnósticos, imagens e intranet. Eles também exfiltraram informações de identificação pessoal e informações de saúde do paciente.
As agências estão alertando os provedores de saúde para proteger os servidores VPN, pois foi assim que o grupo obteve acesso a alvos anteriores, incluindo a exploração de uma falha não corrigida no servidor VPN da vítima. Em outro caso confirmado, os atores usaram credenciais previamente comprometidas para acessar um servidor VPN legado onde a autenticação multifator (MFA) não estava habilitada. Acredita-se que os atores tenham adquirido as credenciais da VPN por meio de um e-mail de phishing com um anexo malicioso.
Também: Ransomware: por que ainda é uma grande ameaça e para onde as gangues estão indo a seguir
Depois de acessar a VPN, o grupo usou protocolos remotos SSH e RDP para se mover lateralmente, depois buscou contas privilegiadas por meio de dumping de credenciais e ‘passar o hash’, onde os invasores usam hashes de senha roubados para se mover lateralmente.
Os atores também usaram contas privilegiadas para acessar o VMware vCenter Server e redefinir senhas de contas para servidores ESXi no ambiente. Em seguida, eles usam SSH para se conectar a servidores ESXi acessíveis e implantar ransomware nesses servidores, de acordo com o comunicado.
O grupo Daixin também extraiu dados dos sistemas das vítimas.
Entre várias mitigações, o comunicado diz que as organizações devem priorizar a correção de servidores VPN, software de acesso remoto, software de máquina virtual e vulnerabilidades exploradas conhecidas da CISA. Ele também recomenda bloquear o RDP e desativar o SSH, bem como Telnet, Winbox e HTTP para redes de longa distância e protegê-los com senhas fortes e criptografia quando ativados. As organizações também devem exigir MFA para o maior número possível de serviços.
Como vidas podem depender desses sistemas, os provedores do setor são rotineiramente alvos de criminosos cibernéticos. Os dados do Internet Crime Complaint Center (IC3) do FBI indicam que o setor de saúde responde por 25% das reclamações de ransomware de relatórios de vítimas em todos os 16 setores de infraestrutura crítica.
Além disso, no relatório anual de 2021 do IC3, o Setor HPH foi responsável por 148 relatórios de ransomware. Foi a maior fonte de reclamações de ransomware entre os 649 relatórios de ransomware feitos naquele ano em 14 setores de infraestrutura crítica.
.
