.
As agências federais estão alertando sobre um grupo de ameaças chamado Daixin Team, que está usando táticas de ransomware e extorsão de dados para atingir organizações de saúde dos EUA.
Em um recente consultivoa Agência de Segurança Cibernética e Infraestrutura (CISA), o FBI e o Departamento de Saúde e Serviços Humanos (HHS) disseram que o grupo atacou várias entidades desde pelo menos junho, implantando ransomware para criptografar dados em servidores usados para uma variedade de serviços, incluindStrong The Ones eletrônicos de saúde (EHRs), serviços de diagnóstico, imagem e intranet.
A equipe da Daixin também extraiu informações de identificação pessoal (PII) e informações de saúde do paciente (PHI) e ameaçou liberá-las se o valor exigido não for pago.
O grupo de ameaças obtém acesso inicial por meio de servidores VPN, escreveram as agências.
“Em um comprometimento confirmado, os atores provavelmente exploraram uma vulnerabilidade não corrigida no servidor VPN da organização. Em outro comprometimento confirmado, os atores usaram credenciais previamente comprometidas para acessar um servidor VPN legado que não tinha autenticação multifator (MFA) habilitada.”
A equipe da Daixin adquiriu as credenciais da VPN por meio de um e-mail de phishing que incluía um anexo malicioso. Uma vez no servidor VPN, os cibercriminosos se movem lateralmente pela rede via Secure Shell (SSH) e Remote Desktop Protocol (RDP) e tentaram obter acesso privilegiado à conta por meio de dumping de credenciais e táticas de passagem de hash.
As contas privilegiadas permitiram que os invasores entrassem no VMware vCenter Servers para redefinir as senhas das contas dos servidores ESXi e, em seguida, implantar ransomware neles, de acordo com as agências.
Eles observaram que relatórios de terceiros vinculam o ransomware da Daixin Team ao código-fonte do malware Babuk Locker que vazou no ano passado.
“Além de implantar ransomware, os atores da Daixin extraíram dados dos sistemas das vítimas”, escreveram eles. “Em um compromisso confirmado, os atores usaram o Rclone – um programa de código aberto para gerenciar arquivos no armazenamento em nuvem – para exfiltrar dados para um servidor privado virtual (VPS) dedicado. Em outro compromisso, os atores usaram Ngrok – uma ferramenta de proxy reverso para proxy um serviço interno para um domínio Ngrok – para exfiltração de dados.”
As instalações de saúde tornaram-se um alvo favorito do setor público de ransomware e extorsão operadores, o que não é surpreendente, dada a quantidade de dados confidenciais que eles possuem, o número de dispositivos conectados que operam e o fato de que a interrupção dos cuidados críticos pode pressionar as organizações a pagar o resgate. De acordo com a empresa de segurança cibernética Emsisoft, pelo menos 68 prestadores de serviços de saúde que operam 1.203 sites foram afetado por ransomware em 2021.
Uma dessas vítimas foi a Scripps Health, que administra cinco hospitais entre os 24 locais em que opera. A organização disse que o ataque pode custar até US$ 112,7 milhões.
A empresa de consultoria financeira e de risco Kroll disse que no segundo quarto deste ano, a saúde ultrapassou os serviços profissionais como o principal setor alvo de ataques cibernéticos, dos quais 33% eram operações de ransomware. Também era comum ver ataques de dupla extorsão.
No primeiro trimestre, a saúde foi responsável por 11% dos ataques cibernéticos, de acordo com a Kroll. Isso saltou para 21 por cento no trimestre seguinte.
Darren Williams, fundador e CEO da Blackfog, disse Strong The One que a saúde está consistentemente entre os três principais setores visados pelos operadores de ransomware.
“Infelizmente, o setor costuma ser um alvo fácil, pois possui níveis mais baixos de proteção e uma falta geral de investimento em segurança cibernética”, disse Williams, cuja empresa protege contra ransomware e exfiltração de dados.
“Sabemos que praticamente todos os ataques de ransomware agora se concentram na exfiltração de dados. O problema que temos é que as organizações continuam confiando em tecnologias defensivas existentes que simplesmente não estão à altura de impedir esses ataques.”
HHS advertiu em consultivo no início deste ano que o grupo de ransomware Hive também tinha como alvo instalações de saúde.
Um hit este ano foi Centro Médico OakBend no Texas. A equipe Daixin assumiu o crédito pelo ataque de 1º de setembro, que levou ao desligamento das comunicações e dos sistemas de TI do centro médico.
Os invasores também exfiltraram dados internos, dizendo que roubaram mais de um milhão de registros que incluíam nomes, datas de nascimento, números de CPF e informações sobre tratamento de pacientes. A Daixin Team ameaçou vazar as informações se o resgate não fosse pago.
Em um atualizar em 11 de outubro, OakBend escreveu que alguns pacientes disseram que estão sendo contatados por e-mail por “terceiros” sobre o ataque cibernético e alertou que todas as informações e atualizações sobre a situação estão vindo da organização em seu site ou mala direta. Ele acrescentou que ainda há uma investigação em andamento para determinar quais dados foram comprometidos.
As agências federais estabeleceram etapas para mitigar os ataques da Daixin Team, incluindo manter sistemas operacionais, software e firmware atualizados, exigir MFA o máximo possível, proteger e monitorar RDP, desativar o SSH e implementar a segmentação de rede. ®
.
