wordpress

Das Daixin-Team zielt mit Ransomware auf Gesundheitsorganisationen ab, warnen US-Behörden Security Affairs


US-Regierungsbehörden haben davor gewarnt, dass die Cybercrime-Gruppe Daixin Team das US-Gesundheitswesen und den öffentlichen Gesundheitssektor aktiv mit Ransomware angreift.

CISA, das FBI und das Department of Health and Human Services (HHS) haben davor gewarnt, dass die Cybercrime-Gruppe Daixin Team aktiv US-Unternehmen mit Ransomware-Operationen angreift, hauptsächlich im Gesundheits- und öffentlichen Gesundheitssektor (HPH).

Das Daixin-Team ist eine Ransomware- und Datenerpressungsgruppe, die seit mindestens Juni 2022 aktiv ist. Die Gruppe hat sich auf den HPS-Sektor mit Ransomware-Operationen konzentriert, die darauf abzielen, Ransomware einzusetzen und personenbezogene Daten, identifizierbare Informationen (PII) und Patientengesundheitsinformationen (PHI) zu exfiltrieren ) droht, die gestohlenen Daten freizugeben, wenn kein Lösegeld gezahlt wird.

Die Daixin-Teamgruppe erhält den ersten Zugang zu den Opfern über VPN-Server (Virtual Private Network). Bei einem erfolgreichen Angriff nutzten die Angreifer wahrscheinlich eine ungepatchte Schwachstelle im VPN-Server des Unternehmens aus. Bei einer weiteren Kompromittierung verließ sich die Gruppe auf kompromittierte Anmeldeinformationen, um Zugriff auf einen alten VPN-Server zu erhalten. Bedrohungsakteure erhielten VPN-Anmeldeinformationen durch Phishing-Angriffe.

Nachdem sie Zugriff auf den VPN-Server des Ziels erhalten haben, bewegen sich Daixin-Akteure seitlich über Secure Shell (SSH) und Remote Desktop Protocol (RDP).

Die von den Bundesbehörden veröffentlichte Warnung umfasst Taktiken und Techniken für Indikatoren für Kompromisse (IOC) und MITRE ATT&CK.

Angreifer verwenden verschiedene Methoden, um Berechtigungen zu erhöhen, um die Ransomware zu verbreiten, z. B. das Löschen von Anmeldeinformationen und die Hash-Übertragung.

„Schauspieler nutzten privilegierte Konten, um auf VMware vCenter Server zuzugreifen und Kontokennwörter zurückzusetzen [T1098] für ESXi-Server in der Umgebung. Die Akteure nutzten dann SSH, um sich mit zugänglichen ESXi-Servern zu verbinden und Ransomware bereitzustellen [T1486] auf diesen Servern. liest die Warnung.

Laut Berichten Dritter basiert die von der Gruppe verwendete Ransomware auf dem Quellcode von Babuk Locker.

Das Daixin-Team exfiltrierte auch Daten von Opfersystemen mit Rclone- und Ngrok-Tools.

Im Folgenden sind die in der Warnung enthaltenen Abhilfemaßnahmen aufgeführt:

  • Installieren Sie Betriebssystem-, Software- und Firmware-Updates, sobald sie veröffentlicht werden.
  • Fordern Sie Phishing-resistente MFA für so viele Dienste wie möglich, insbesondere für Webmail, VPNs, Konten, die auf kritische Systeme zugreifen, und privilegierte Konten, die Backups verwalten.
  • Wenn Sie das Remote Desktop Protocol (RDP) verwenden, sichern und überwachen Sie es.
  • Deaktivieren Sie SSH und andere Verwaltungsschnittstellen für Netzwerkgeräte wie Telnet, Winbox und HTTP für Wide Area Networks (WAN) und sichern Sie sie mit starken Kennwörtern und Verschlüsselung, wenn diese aktiviert sind.
  • Implementieren und erzwingen Sie eine Multi-Layer-Netzwerksegmentierung, wobei die kritischsten Kommunikationen und Daten auf der sichersten und zuverlässigsten Ebene verbleiben.
  • Beschränken Sie den Zugriff auf Daten, indem Sie eine Public-Key-Infrastruktur und digitale Zertifikate einsetzen, um Verbindungen zum Netzwerk, zu medizinischen Geräten des Internets der Dinge (IoT) und zum elektronischen Patientendatensystem zu authentifizieren und um sicherzustellen, dass Datenpakete während der Übertragung nicht von Menschen manipuliert werden . – Angriffe in der Mitte.
  • Verwenden Sie Standardbenutzerkonten auf internen Systemen anstelle von Administratorkonten, die allgemeine Administratorrechte für das System gewähren und nicht die geringsten Rechte garantieren.
  • Sichern Sie PII/PHI an Sammelpunkten und verschlüsseln Sie gespeicherte und übertragene Daten mithilfe von Technologien wie Transport Layer Security (TPS). Speichern Sie persönliche Patientendaten nur auf internen Systemen, die durch Firewalls geschützt sind, und stellen Sie sicher, dass vollständige Backups verfügbar sind, wenn Daten kompromittiert werden.
  • Schützen Sie gespeicherte Daten, indem Sie die permanente Kontonummer (PAN) bei der Anzeige verschleiern und beim Speichern unlesbar machen, beispielsweise durch Kryptografie.
  • Sichere PII- und PHI-Erfassungs-, Speicher- und Verarbeitungspraktiken in Übereinstimmung mit Vorschriften wie dem Health Insurance Portability and Accountability Act von 1996 (HIPAA). Die Implementierung von HIPAA-Sicherheitsmaßnahmen kann verhindern, dass Malware in das System eindringt.
  • Verwenden Sie Überwachungstools, um zu beobachten, ob sich IoT-Geräte aufgrund von Kompromittierungen unberechenbar verhalten.
  • Erstellen und überprüfen Sie regelmäßig interne Richtlinien, die die Erfassung, Speicherung, den Zugriff und die Überwachung von PII/PHI regeln.
  • Darüber hinaus fordern das FBI, CISA und HHS alle Organisationen, einschließlich Organisationen im HPH-Sektor, auf, die folgenden Empfehlungen umzusetzen, um sich auf Ransomware-Vorfälle vorzubereiten, sie zu mindern/zu verhindern und darauf zu reagieren.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook

Pierluigi Paganini

(Sicherheitsfälle Hacking, Daixin-Team)





Blog In 2021 joker0o xyz

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button