CISA, el FBI y el Departamento de Salud y Servicios Humanos (HHS) advirtieron que un grupo de ciberdelincuencia conocido como Daixin Team está apuntando activamente al sector de la Salud y la Salud Pública (HPH) de EE. UU. con ataques de ransomware.
Las agencias federales también compartieron indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) en un aviso conjunto emitido hoy para ayudar a los profesionales de la seguridad a detectar y bloquear ataques con esta variedad de ransomware.
«El equipo Daixin es un grupo de extorsión de datos y ransomware que se ha dirigido al sector HPH con operaciones de extorsión de datos y ransomware desde al menos junio de 2022», reveló el aviso.
Desde junio, los atacantes de Daixin Team han sido vinculados a múltiples incidentes de ransomware en el sector de la salud en los que han encriptado sistemas utilizados para muchos servicios de atención médica, incluido el almacenamiento de registros médicos electrónicos, diagnósticos, servicios de imágenes y servicios de intranet.
También son conocidos por robar información de salud del paciente (PHI) e información de identificación personal (PII) y usarla para doble extorsión para presionar a las víctimas a pagar rescates bajo la amenaza de divulgar la información robada en línea.
La pandilla de ransomware obtiene acceso a las redes de los objetivos al explotar vulnerabilidades conocidas en los servidores VPN de las organizaciones o con la ayuda de credenciales VPN comprometidas que pertenecen a cuentas con autenticación multifactor (MFA) desactivada.
Monitoreo de computadoras de empleados centralizado, todo en uno y de alto nivel, diseñado para empresas, organizaciones educativas y gobiernos.
Conocer..
Una vez dentro, utilizan el Protocolo de escritorio remoto (RDP) y Secure Shell (SSH) para moverse lateralmente a través de las redes de la víctima.
Para implementar las cargas útiles de ransomware, aumentan los privilegios utilizando varios métodos, como el volcado de credenciales.
Este acceso privilegiado también se utiliza para «obtener acceso a VMware vCenter Server y restablecer las contraseñas de las cuentas de los servidores ESXi en el entorno» con el mismo objetivo de cifrar los sistemas mediante ransomware.
«Según informes de terceros, el ransomware de Daixin Team se basa en el código fuente filtrado de Babuk Locker» , agregaron las agencias federales .
«Este informe de terceros, así como el análisis del FBI, muestran que el ransomware se dirige a los servidores ESXi y cifra los archivos ubicados en /vmfs/volumes/ con las siguientes extensiones: .vmdk, .vmem, .vswp, .vmsd, .vmx y . vmsn. También se escribe una nota de rescate en /vmfs/volumes/».
Antes de cifrar los dispositivos de sus víctimas, utilizan Rclone o Ngrok para filtrar los datos robados a servidores privados virtuales (VPS) dedicados.
Se recomienda a las organizaciones de salud de EE. UU. que tomen las siguientes medidas para defenderse de los ataques de Daixin Team:
- Instale actualizaciones para sistemas operativos, software y firmware tan pronto como se publiquen.
- Habilite MFA resistente al phishing para tantos servicios como sea posible.
- Capacite a los empleados para que reconozcan y denuncien los intentos de phishing.
En agosto, CISA y el FBI también advirtieron que los atacantes conocidos por apuntar principalmente a las industrias de la salud y la medicina con el ransomware Zeppelin podrían cifrar archivos varias veces, lo que haría que la recuperación de archivos fuera más tediosa.
Fuente bleepingcomputer.com
Si te ha gustado, ¡compártelo con tus amigos!
