CISA, FBI ve Sağlık ve İnsan Hizmetleri Departmanı (HHS), Daixin Ekibi olarak bilinen bir siber suç grubunun, fidye yazılımı saldırılarında aktif olarak ABD Sağlık ve Halk Sağlığı (HPH) sektörünü hedef aldığı konusunda uyardı.
Federal kurumlar ayrıca, güvenlik uzmanlarının bu fidye yazılımı türünü kullanarak saldırıları tespit etmesine ve engellemesine yardımcı olmak için bugün yayınlanan ortak bir tavsiyede, uzlaşma göstergelerini (IOC’ler) ve taktikler, teknikler ve prosedürler (TTP’ler) paylaştı.
“Daixin Ekibi, en az Haziran 2022’den beri HPH Sektörünü fidye yazılımı ve veri gaspı operasyonlarıyla hedef alan bir fidye yazılımı ve veri hırsızlığı grubudur.”
Haziran ayından bu yana Daixin Team saldırganları, elektronik sağlık kayıtları depolama, tanılama, görüntüleme hizmetleri ve intranet hizmetleri de dahil olmak üzere birçok sağlık hizmeti için kullanılan sistemleri şifreledikleri birden fazla sağlık sektörü fidye yazılımı olayıyla ilişkilendirildi.
Ayrıca, hasta sağlık bilgilerini (PHI) ve kişisel tanımlanabilir bilgileri (PII) çalmaları ve çalınan bilgileri çevrimiçi olarak yayınlama tehdidi altında kurbanları fidye ödemeye zorlamak için çifte gasp için kullanmalarıyla da tanınırlar.
Fidye yazılımı çetesi, kuruluşların VPN sunucularındaki bilinen güvenlik açıklarından yararlanarak veya çok faktörlü kimlik doğrulama (MFA) kapalı olan hesaplara ait güvenliği ihlal edilmiş VPN kimlik bilgilerinin yardımıyla hedef ağlarına erişim sağlar.
İçeri girdikten sonra, kurbanın ağları arasında yanlamasına hareket etmek için Uzak Masaüstü Protokolü (RDP) ve Güvenli Kabuk (SSH) kullanırlar.
Fidye yazılımı yüklerini dağıtmak için, kimlik bilgisi dökümü gibi çeşitli yöntemler kullanarak ayrıcalıkları yükseltirler.
Bu ayrıcalıklı erişim, aynı zamanda sistemleri fidye yazılımı kullanarak şifrelemek amacıyla “VMware vCenter Server’a erişim kazanmak ve ortamdaki ESXi sunucuları için hesap parolalarını sıfırlamak” için de kullanılır.
“Üçüncü taraf raporlarına göre, Daixin Ekibi’nin fidye yazılımı sızdırılmış Babuk Locker kaynak koduna dayanıyor.” federal kurumlar eklendi.
“Bu üçüncü taraf raporları ve FBI analizi, fidye yazılımının ESXi sunucularını hedeflediğini ve /vmfs/volumes/ dizininde bulunan dosyaları şu uzantılarla şifrelediğini gösteriyor: .vmdk, .vmem, .vswp, .vmsd, .vmx ve . vmsn. /vmfs/volumes/ dizinine de bir fidye notu yazılır.”
Kurbanlarının cihazlarını şifrelemeden önce, çalınan verileri özel sanal özel sunuculara (VPS) sızdırmak için Rclone veya Ngrok kullanırlar.
ABD sağlık kuruluşlarına Daixin Team’in saldırılarına karşı savunmak için aşağıdaki önlemleri almaları tavsiye edilir:
- İşletim sistemleri, yazılım ve bellenim güncellemelerini yayınlandıkları anda yükleyin.
- Olabildiğince çok hizmet için kimlik avına karşı korumalı MFA’yı etkinleştirin.
- Kimlik avı girişimlerini tanımak ve bildirmek için çalışanları eğitin.
Ağustos ayında, CISA ve FBI ayrıca, Zeppelin fidye yazılımıyla sağlık ve tıp sektörlerini hedef aldığı bilinen saldırganların da uyarıda bulundu. dosyaları birden çok kez şifreleyebilirdosya kurtarmayı daha sıkıcı hale getirir.