США предупредили о растущей угрозе на сферу здравоохранения

CISA, ФБР и Министерство здравоохранения и социальных служб (HHS) предупредили, что группировка Daixin Team нацелена на американские предприятия в секторе здравоохранения и общественного здравоохранения (Healthcare and Public Health, HPH), с помощью программ-вымогателей.

Группа Daixin Team действует как минимум с июня 2022 года. Группа атакует сектор HPH, используя программы-вымогатели для кражи личных данных и информации о здоровье пациентов (PHI), чтобы под угрозой раскрытия украденных данных требовать выкуп. Группа Daixin Team получает первоначальный доступ к жертвам через VPN -серверы.

В ходе одной из кампаний злоумышленники, вероятно, воспользовались неисправленной уязвимостью в VPN-сервере организации. В другом случае группа использовала скомпрометированные учетные данные для доступа к устаревшему VPN-серверу. Злоумышленники получили учетные данные VPN с помощью фишинговых атак.

Получив доступ к целевому VPN-серверу, участники Daixin Team совершают боковое перемещение через Secure Shell (SSH) и протокол удаленного рабочего стола ( RDP ).

Предупреждение, опубликованное федеральными агентствами , включает индикаторы компрометации (IOC), а также тактику и методы MITRE ATT&CK. Для доставки программы-вымогателя киберпреступники повышают привилегии различными методами, такими как сброс учетных данных и передача хэша.

Согласно предупреждению, хакеры использовали привилегированные учетные записи, чтобы получить доступ к серверу VMware vCenter и сбросить пароли учетных записей для серверов ESXi в среде. Затем злоумышленники использовали SSH для подключения к доступным серверам ESXi и развертывания программ-вымогателей на этих серверах.

Согласно сторонним сообщениям, программа-вымогатель группировки основана на исходном коде Babuk Locker . Daixin Team также извлекла данные из систем жертв с помощью инструментов Rclone и Ngrok.

В предупреждении также указаны меры по смягчению последствий кибератак.