CISA, FBI ve Sağlık ve İnsan Hizmetleri Departmanı (HHS), Daixin ekibi olarak bilinen bir siber suç grubunun fidye yazılımı saldırılarında ABD Sağlık ve Halk Sağlığı (HPH) sektörünü aktif olarak hedeflediği konusunda uyardı.
Federal ajanslar ayrıca, güvenlik profesyonellerinin bu fidye yazılımı gerginliğini kullanarak saldırıları tespit etmesine ve engellemelerine yardımcı olmak için bugün yayınlanan ortak bir danışma alanında uzlaşma (IOC'ler) ve taktikler, teknikler ve prosedürler (TTP'ler) göstergelerini paylaştılar.
"Daixin ekibi, en azından Haziran 2022'den bu yana HPH sektörünü fidye yazılımı ve veri gasp operasyonları ile hedefleyen bir fidye yazılımı ve veri gasp grubudur."
Haziran ayından bu yana, Daixin ekip saldırganları, elektronik sağlık kayıtları depolama, teşhis, görüntüleme hizmetleri ve intranet hizmetleri de dahil olmak üzere birçok sağlık hizmeti için kullanılan sistemleri şifreli sistemlere bağlı olarak birden fazla sağlık sektörü fidye yazılımı olayıyla ilişkilendirilmiştir.
Ayrıca, hasta sağlığı bilgilerini (PHI) ve kişisel tanımlanabilir bilgileri (PII) çalmak ve onu çevrimiçi olarak çalınan bilgileri serbest bırakma tehdidi altında basılı kurbanlara çift gasp etmek için kullanıyorlar.
Fidye yazılımı çetesi, kuruluşların VPN sunucularındaki bilinen güvenlik açıklarından veya çok faktörlü kimlik doğrulama (MFA) ile ilgili hesaplara ait tehlikeye atılan VPN kimlik bilgilerinin yardımıyla hedeflerin ağlarına erişim kazanır.
Bir kez, kurbanın ağlarında yanal olarak hareket etmek için uzak masaüstü protokolü (RDP) ve güvenli kabuk (SSH) kullanırlar.
Fidye yazılımı yüklerini dağıtmak için, kimlik bilgisi boşaltma gibi çeşitli yöntemleri kullanarak ayrıcalıkları artırırlar.
Bu ayrıcalıklı erişim ayrıca, fidye yazılımlarını kullanarak sistemleri şifrelemek amacıyla "VMware vCenter sunucusuna erişim kazanmak ve ortamdaki ESXI sunucuları için hesap şifrelerini sıfırlamak" için de kullanılır.
Federal ajanslar, "Üçüncü taraf raporlarına göre, Daixin ekibinin fidye yazılımı sızdırılmış Babuk soyunma kaynak koduna dayanıyor."
"Bu üçüncü taraf raporlama ve FBI analizi, fidye yazılımının/vmfs/volumes/içinde bulunan ESXI sunucularını ve şifrelemeleri hedeflediğini göstermektedir: .vmdk, .vmem, .vswp, .vmsd, .vmx ve. VMFS/Volumes/adresine bir fidye notu da yazılmıştır. "
Kurbanlarının cihazlarını şifrelemeden önce, özel sanal özel sunuculara (VPS) çalınan verileri dışarı atmak için RCLone veya NGROK kullanırlar.
ABD sağlık kuruluşlarına Daixin ekibinin saldırılarına karşı savunmak için aşağıdaki önlemleri almaları tavsiye edilir:
Ağustos ayında, CISA ve FBI ayrıca, esas olarak Zeppelin fidye yazılımı ile sağlık ve tıp endüstrilerini hedefledikleri bilinen saldırganların dosyaları birden çok kez şifreleyebileceği ve dosya kurtarmayı daha sıkıcı hale getirebileceği konusunda uyardı.
US Govt, 2020'den beri Çinli hackerlar tarafından sömürülen en iyi kusurları paylaşıyor
FBI, okul bölgelerindeki yardımcı toplum fidye yazılımı saldırılarını uyarıyor
Ransomware'de Hafta - 21 Ekim 2022 - Basınları Durdur
Revil Fidye Yazılımı İade: Yeni Kötü Yazılım Örneği Çetenin geri döndüğünü onaylar
NSA, OT/ICS kritik altyapısının güvenliğini sağlayacak rehberliği paylaşır
Kaynak: Bleeping Computer