0
0 FBI dan agensi lain telah memperingatkan peningkatan serangan ransomware dan pemerasan data terhadap penyedia layanan kesehatan oleh tim Daixin. Biro Investigasi Federal (FBI), Badan Keamanan Siber dan Infrastruktur (CISA), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) telah mengeluarkan peringatan bersama mengenai kegiatan medis dan kesehatan masyarakat tim Daishin mulai Juni 2022. Oleh karena itu, grup ini menggunakan ransomware untuk mengenkripsi server yang menyediakan rekam medis elektronik, diagnostik, pencitraan, dan layanan intranet. Kami juga mengekstrak informasi identitas pribadi dan kesehatan dari pasien.
Pihak berwenang memperingatkan penyedia layanan kesehatan untuk tidak mengamankan server VPN, karena itu adalah cara bagi kelompok untuk mendapatkan akses ke target sebelumnya, termasuk dengan mengeksploitasi kerentanan yang belum ditambal di server VPN korban. Dalam kasus lain yang dikonfirmasi, penyerang menggunakan kredensial yang sebelumnya dikompromikan untuk mengakses server VPN lawas yang tidak mengaktifkan otentikasi multi-faktor (MFA). Penyerang diyakini telah memperoleh kredensial VPN melalui email phishing dengan lampiran berbahaya.
Setelah mengakses VPN, grup bergerak secara lateral menggunakan protokol SSH dan RDP jarak jauh, mencari akun istimewa melalui dump kredensial dan “hash bypass.” Penyerang menggunakan hash kata sandi curian untuk bergerak ke samping. Aktor mengakses VMware vCenter Server menggunakan akun istimewa untuk mengatur ulang kata sandi akun untuk server ESXi di lingkungan. Kemudian menggunakan SSH untuk terhubung ke server ESXi yang dapat diakses dan mengikuti saran untuk menyebarkan ransomware ke server tersebut.
Daixin Group juga mengekstrak data dari sistem korban, konsultan mengatakan organisasi harus memprioritaskan patch server VPN, perangkat lunak akses jarak jauh, perangkat lunak mesin virtual, dan kerentanan CISA yang diketahui dapat dieksploitasi. Nanti akan untuk memblokir RDP, menonaktifkan SSH dan Telnet di jaringan area luas, Winbox, dan HTTP, dan mengamankannya dengan kata sandi dan enkripsi yang kuat saat diaktifkan. Organisasi juga harus membutuhkan MFA untuk sebanyak mungkin layanan.
Penyedia di ruang ini secara rutin menjadi sasaran penjahat dunia maya karena kehidupan mereka mungkin bergantung pada sistem ini. Data dari Internet Crime Complaints Center (IC3) FBI menunjukkan bahwa sektor kesehatan bertanggung jawab atas 25 juta laporan korban ransomware di 16 sektor infrastruktur penting. Sektor HPH juga menyumbang 148 laporan ransomware dalam Laporan Tahunan IC3 2021. Itu adalah sumber keluhan ransomware terbesar tahun ini, dari 649 laporan ransomware yang dihasilkan di 14 sektor infrastruktur penting.
