CISA, FBI và Bộ Y tế và Dịch vụ Nhân sinh (HHS) cảnh báo rằng một nhóm tội phạm mạng được gọi là Daixin Team đang tích cực nhắm mục tiêu vào lĩnh vực Chăm sóc sức khỏe và Sức khỏe Cộng đồng (HPH) của Hoa Kỳ trong các cuộc tấn công ransomware.
Các cơ quan liên bang cũng chia sẻ các chỉ số về sự thỏa hiệp (IOC) và chiến thuật, kỹ thuật và thủ tục (TTP) trong một lời khuyên chung được ban hành hôm nay để giúp các chuyên gia bảo mật phát hiện và chặn các cuộc tấn công bằng cách sử dụng chủng ransomware này.
"Nhóm Daixin là một nhóm tống tiền ransomware và dữ liệu đã nhắm mục tiêu vào Lĩnh vực HPH bằng các hoạt động tống tiền và tống tiền dữ liệu kể từ ít nhất là tháng 6 năm 2022," lời khuyên tiết lộ.
Kể từ tháng 6, những kẻ tấn công Daixin Team đã được liên kết với nhiều sự cố ransomware trong lĩnh vực y tế, nơi chúng đã mã hóa các hệ thống được sử dụng cho nhiều dịch vụ chăm sóc sức khỏe, bao gồm lưu trữ hồ sơ sức khỏe điện tử, chẩn đoán, dịch vụ hình ảnh và dịch vụ mạng nội bộ.
Họ cũng được biết đến với việc đánh cắp thông tin sức khỏe bệnh nhân (PHI) và thông tin nhận dạng cá nhân (PII) và sử dụng nó để tống tiền gấp đôi nhằm gây áp lực buộc nạn nhân phải trả tiền chuộc dưới sự đe dọa tiết lộ thông tin bị đánh cắp trực tuyến.
Băng đảng ransomware giành quyền truy cập vào mạng của mục tiêu bằng cách khai thác các lỗ hổng đã biết trong máy chủ VPN của tổ chức hoặc với sự trợ giúp của thông tin đăng nhập VPN bị xâm phạm thuộc về các tài khoản có xác thực đa yếu tố (MFA) bị tắt.
Khi vào, họ sử dụng Giao thức Máy tính Từ xa (RDP) và Secure Shell (SSH) để di chuyển ngang qua mạng của nạn nhân.
Để triển khai tải trọng ransomware, họ báo cáo các đặc quyền bằng nhiều phương pháp khác nhau, chẳng hạn như bán phá giá thông tin xác thực. Quyền truy cập đặc quyền này cũng được sử dụng để "có quyền truy cập vào VMware vCenter Server và đặt lại mật khẩu tài khoản cho các máy chủ ESXi trong môi trường" với cùng mục tiêu mã hóa hệ thống bằng ransomware.
"Theo báo cáo của bên thứ ba, ransomware của Daixin Team dựa trên mã nguồn Babuk Locker bị rò rỉ," các cơ quan liên bang cho biết thêm.
"Báo cáo của bên thứ ba này cũng như phân tích của FBI cho thấy ransomware nhắm mục tiêu vào các máy chủ ESXi và mã hóa các tệp nằm trong / vmfs / volumes / với các phần mở rộng sau: .vmdk, .vmem, .vswp, .vmsd, .vmx và .vmsn. Một ghi chú đòi tiền chuộc cũng được ghi vào /vmfs/volumes/."
Trước khi mã hóa thiết bị của nạn nhân, họ sử dụng Rclone hoặc Ngrok để thâm nhập dữ liệu bị đánh cắp vào các máy chủ riêng ảo (VPS) chuyên dụng.
Các tổ chức y tế Hoa Kỳ nên thực hiện các biện pháp sau để bảo vệ chống lại các cuộc tấn công của Daixin Team:
- Cài đặt các bản cập nhật cho hệ điều hành, phần mềm và chương trình cơ sở ngay khi chúng được phát hành.
- Bật MFA chống lừa đảo cho càng nhiều dịch vụ càng tốt.
- Đào tạo nhân viên nhận biết và báo cáo các nỗ lực lừa đảo.
Vào tháng 8, CISA và FBI cũng cảnh báo rằng những kẻ tấn công được biết đến với chủ yếu nhắm mục tiêu vào các ngành công nghiệp chăm sóc sức khỏe và y tế với ransomware Zeppelin có thể mã hóa các tệp nhiều lần, khiến việc khôi phục tệp trở nên tẻ nhạt hơn.