Bugün erken saatlerde, ABD siber güvenlik ve istihbarat teşkilatları, ABD siber güvenlik ve istihbarat teşkilatları olarak bilinen bir siber suç çetesi tarafından gerçekleştirilen saldırılara ilişkin ortak bir tavsiye uyarısı yayınladı. Daixin Ekibi öncelikle ülkedeki sağlık sektörünü hedef alıyor.
Ajanslar, “Daixin Ekibi, en az Haziran 2022’den bu yana fidye yazılımı ve veri gaspı operasyonlarıyla HPH Sektörünü hedef alan bir fidye yazılımı ve veri hırsızlığı grubudur” dedi.
Uyarı Cuma günü Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Sağlık ve İnsan Hizmetleri Departmanı (HHS) tarafından yayınlandı.
Buna ek olarak, son dört ay içinde grup, Sağlık ve Halk Sağlığı (HPH) sektöründe elektronik sağlık kayıtları, tanılama, görüntüleme ve intranet hizmetleriyle ilgili sunucuları şifreleyen çok sayıda fidye yazılımı olayıyla ilişkilendirildi.
Ayrıca, kurbanlardan fidye almak için çifte gasp planının bir parçası olarak kişisel tanımlanabilir bilgileri (PII) ve hasta sağlık bilgilerini (PHI) sızdırdığı söyleniyor.
Bu saldırılardan birinin 1 Eylül 2022’de OakBend Tıp Merkezi’ni hedef aldığı ve grubun yaklaşık 3.5 GB veriyi sifonladığını iddia ettiği görülüyor. içermek hasta ve çalışan bilgilerini içeren bir milyondan fazla kayıt.
Ek olarak, DataBreaches.net’e göre, veri sızıntısı sitesinde isimleri, cinsiyetleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, adresleri ve diğer randevu ayrıntılarını içeren 2.000 hasta kaydı içeren bir örnek yayınladı.
Yılın başlarında, 11 Ekim 2022’de müşterilerine siber saldırıyla ilgili olarak “üçüncü şahıslar” tarafından gönderilen e-postaları bildirerek, 18 ay boyunca ücretsiz kredi izleme hizmetleri sunmanın yanı sıra, etkilenen hastaları doğrudan bilgilendirdiğini belirtti.
Gözlemler, yeni uyarıya göre, hedeflenen ağlara ilk erişimin sanal özel ağ (VPN) sunucuları aracılığıyla sağlandığını, genellikle yama uygulanmamış güvenlik açıklarından ve kimlik avı e-postaları yoluyla elde edilen ele geçirilmiş kimlik bilgilerinin avantajlarından yararlanıldığını gösteriyor.
Buna ek olarak, Daixin Ekibinin bir yer edindikten sonra, uzak masaüstü protokolü (RDP) ve güvenli kabuk (SSH) kullanarak yanal hareket ettiği ve ardından kimlik bilgisi dökümü gibi teknikleri kullanarak yüksek ayrıcalıklar kazandığı gözlemlendi.
ABD hükümeti, “Aktörler, VMware vCenter Server’a erişmek ve ortamdaki ESXi sunucuları için hesap şifrelerini sıfırlamak için ayrıcalıklı hesaplardan yararlandı” dedi. “Oyuncular daha sonra erişilebilir ESXi sunucularına bağlanmak ve bu sunuculara fidye yazılımı dağıtmak için SSH’yi kullandılar.”
Ayrıca Daixin Ekibinin fidye yazılımı, Eylül 2021’de sızdırılan ve Rook, Night Sky, Pandora ve Cheerscrypt gibi bir dizi dosya şifreleyen kötü amaçlı yazılım ailesi için bir temel olarak kullanılan Babuk adlı başka bir türe dayanıyor.
Azaltmalarla ilgili olarak, kuruluşların en son yazılım güncellemelerini uygulaması, çok faktörlü kimlik doğrulamasını zorlaması, ağ segmentasyonu uygulaması ve periyodik çevrimdışı yedeklemeleri sürdürmesi önerilir.