FBI, CISA ve HSH, sağlık kuruluşlarına yönelik yeni bir tehdit hakkında ortak bir danışma belgesi yayınladı.
İlk olarak Haziran 2022’de tespit edilen DAIXIN Ekibi, sağlık ve halk sağlığı sektöründeki kuruluşlara karşı çok sayıda fidye yazılımı saldırısı gerçekleştirdikten sonra hızla hükümetin dikkatini çekti. Bu günlerde standart olduğu üzere, fidye yazılımı saldırıları hem sunucuları şifrelemeyi hem de veri çalmayı içeriyordu. Bu durumda, veriler hem kişisel olarak tanımlanabilir bilgileri hem de hasta sağlık bilgilerini (PHI) içermektedir.
DAIXIN sızıntı sitesi
Danışma belgesi, DAIXIN Ekibinin VPN sunucuları aracılığıyla kurbanların sistemlerine ilk erişim elde ettiğinin görüldüğünü bildiriyor. Bir vakada, yama yapılmamış bir güvenlik açığı aracılığıyla bir kurbana eriştiler ve bir başka vakada çete, kimlik avı yoluyla kimlik bilgilerini kullandı.
Başarılı bir sızmanın ardından ekip, keşif gerçekleştirir, kimlik bilgilerini boşaltma veya hash geçirme tekniği yoluyla ayrıcalıkları yükseltir, hassas verileri çalar ve 2021’de sızdırılan Babuk Locker kaynak koduna dayalı olarak fidye yazılımı dağıtır.
Malwarebytes’in Kötü Amaçlı Yazılım İstihbarat Analisti ve fidye yazılımı uzmanı Marcelo Rivero’ya göre DAIXIN Ekibi son zamanlarda daha sessiz. “Bu ay şimdiye kadar herhangi bir yeni kurban listelemedikleri için şu anda bir ara vermiş görünüyorlar.”
Çoğu fidye yazılımı grubunda olduğu gibi, DAIXIN ekibi kurbanlarının ayrıntılarını yayınlar ve fidyeyi ödemezlerse çalınan verilerini sızdırır. Ağustos ayında üç kurbanın ayrıntılarını yayınladıktan sonra, Eylül’de yalnızca bir tane yayınladı ve şimdiye kadar Ekim’de hiçbir şey yayınlamadı, Kasım ayı da hemen köşede. Yayınlanan kurbanların olmaması, eylemsizlik anlamına gelebilir veya DAIXIN Ekibi kurbanları ödemeye ikna etmeyi başarmış olabilir.
Yine de sağlık kuruluşları FBI, CISA ve HHS tarafından ortaya atılan alarma kulak vermelidir. 2021’de FBI İnternet Suçları Şikayet Merkezi tarafından alınan 649 fidye yazılımı raporundan 148’inin Sağlık ve Halk Sağlığı sektöründe olduğunu bildiriyorlar. DAIXIN Ekibi en son fidye yazılımı tehdidi olabilir, ancak tek tehdit değildir.
Temel azaltmalar, fidye yazılımı gruplarının istismar ettiği boşlukları kapatabilir:
- Yazılıma zamanında yama uygulamak için bir plan oluşturun.
- Kullanıcıları şüpheli e-postaları ve kimlik avı girişimlerini bildirme konusunda eğitin.
- Uzak masaüstlerinde ve VPN’lerde iki faktörlü kimlik doğrulama (2FA) gerektirin.
- Davetsiz misafirleri tespit etmek ve fidye yazılımlarını durdurmak için EDR ile uç nokta güvenlik yazılımı kullanın.
- En Az Ayrıcalık İlkesi’ne göre erişim hakları atayın.
- Yanal hareketi daha zor hale getirmek için ağları bölümlere ayırın.
- Saldırganların erişemeyeceği çevrimdışı, tesis dışı yedeklemeler oluşturun ve test edin.
Kuruluşunuzu DAIXIN Ekibine ve diğer fidye yazılımı çetelerine karşı nasıl koruyacağınız hakkında daha fazla bilgi için bu AA22-294A uyarı sayfasına gidin.