Το FBI προειδοποιεί: η ομάδα ransomware “Daixin Team” στοχεύει επισφαλείς VPN servers. Οι εισβολείς χρησιμοποιούν τους VPN servers για να αποκτήσουν πρόσβαση και στη συνέχεια SSH και RDP για να εξαπλωθούν μέσω των δικτύων. Οι επίθεσεις πραγματοποιούνται κυρίως κατά του τομέα υγειονομικής περίθαλψης.
Δείτε επίσης: Windows zero-day επιτρέπει σε αρχεία JavaScript να παρακάμπτουν τις προειδοποιήσεις ασφαλείας
Το Ομοσπονδιακό Γραφείο Ερευνών (FBI), ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) και το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) εξέδωσαν κοινή προειδοποίηση σχετικά με τη δραστηριότητα της Daixin Team κατά του τομέα της υγειονομικής περίθαλψης από τον Ιούνιο του 2022.
Δείτε επίσης: TommyLeaks και SchoolBoys ransomware: Είναι η ίδια ομάδα;
Η ομάδα χρησιμοποιεί ransomware για την κρυπτογράφηση server που παρέχουν υπηρεσίες για ηλεκτρονικά αρχεία υγείας, diagnostics, απεικόνιση και intranet. Έχουν επίσης κλέψει προσωπικές πληροφορίες που μπορούν να αναγνωριστούν και πληροφορίες υγείας ασθενών.
Τα agencies προειδοποιούν τους παρόχους υπηρεσιών υγείας να ασφαλίσουν τους VPN servers τους, καθώς με αυτόν τον τρόπο η ομάδα απέκτησε πρόσβαση σε προηγούμενους στόχους, συμπεριλαμβανομένης της εκμετάλλευσης ενός unpatched ελαττώματος στον VPN server του θύματος. Σε μια διαφορετική περίπτωση που έχει επιβεβαιωθεί, οι εγκληματίες χρησιμοποίησαν κλεμμένα credentials για να αποκτήσουν πρόσβαση σε έναν παλιό VPN server που δεν είχε ενεργοποιημένο το MFA. Οι χάκερ υπάρχει η υποψία ότι απέκτησαν τη σύνδεση στο VPN μέσω ενός phishing email με συνημμένο ένα επικίνδυνο αρχείο.
Μετά την πρόσβαση στο VPN, η ομάδα χρησιμοποίησε τα απομακρυσμένα πρωτόκολλα SSH και RDP για να μετακινηθεί μεταξύ των συστημάτων και στη συνέχεια αναζήτησε προνομιακούς λογαριασμούς μέσω credential dumping και “pass the hash”, όπου οι επιτιθέμενοι χρησιμοποιούν κλεμμένους κωδικούς πρόσβασης για να μετακινηθούν μεταξύ των συστημάτων.
Οι χάκερ εκτός της επίθεσης που πραγματοποιήσαν στον οργανισμό, χρησιμοποίησαν τους προνομιακούς λογαριασμούς τους και για να αποκτήσουν πρόσβαση στον VMware vCenter Server και να επαναφέρουν τους κωδικούς πρόσβασης λογαριασμών για τους ESXi servers. Μετά από αυτό, εισέρχονται με SSH σε προσβάσιμους ESXi servers και αναπτύσσουν ransomware σε αυτούς τους διακομιστές.
Το Daixin Team όχι μόνο διείσδυσε στα συστήματα των θυμάτων, αλλά και εξαφάνισε δεδομένα από αυτά.
Δείτε επίσης: Typosquatting: Ψεύτικα sites μιμούνται δημοφιλή brands και διανέμουν malware
Το advisory αναφέρει ότι, για να μετριάσουν τους κινδύνους, οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην επιδιόρθωση των VPN servers, του λογισμικού απομακρυσμένης πρόσβασης, του λογισμικού virtual-machine και των ευπαθειών που βρίσκονται στην λίστα της CISA. Επιπλέον, συνιστάται το κλείδωμα του RDP και η απενεργοποίηση του SSH, καθώς και του Telnet Winbox και του HTTP για δίκτυα wide-area. Όταν ενεργοποιούνται, θα πρέπει πάντα να διασφαλίζονται με ισχυρούς κωδικούς πρόσβασης και κρυπτογράφηση. Επίσης, οι οργανισμοί θα πρέπει να απαιτούν MFA για τις περισσότερες, αν όχι όλες τις υπηρεσίες, όποτε είναι δυνατόν.
Πηγή πληροφοριών: zdnet.com
