Las agencias de ciberseguridad e inteligencia de EE. UU. publicaron una advertencia conjunta sobre los ataques perpetrados por una pandilla de delitos cibernéticos conocida como The Equipo Daixin dirigido principalmente al sector de la salud en el país.
«El equipo Daixin es un grupo de extorsión de datos y ransomware que se ha dirigido al sector HPH con operaciones de extorsión de datos y ransomware desde al menos junio de 2022», dijeron las agencias. dijo.
La alerta fue publicada el viernes por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS).
En los últimos cuatro meses, el grupo se ha relacionado con múltiples incidentes de ransomware en el sector de la salud pública y de la salud (HPH), servidores de cifrado relacionados con registros médicos electrónicos, diagnósticos, imágenes y servicios de intranet.
También se dice que extrajo información de identificación personal (PII) e información de salud del paciente (PHI) como parte de un esquema de doble extorsión para obtener rescates de las víctimas.
Uno de esos ataques estaba dirigido a Centro médico OakBend el 1 de septiembre de 2022, y el grupo afirmó haber desviado aproximadamente 3,5 GB de datos, incluido más de un millón de registros con información de pacientes y empleados.
También publicó una muestra que contenía 2000 registros de pacientes en su sitio de fuga de datos, que incluía nombres, géneros, fechas de nacimiento, números de Seguro Social, direcciones y otros detalles de citas, según Violaciones de datos.net.
El 11 de octubre de 2022, notificó a sus clientes sobre los correos electrónicos enviados por «terceros» sobre el ataque cibernético, afirmando que está informando directamente a los pacientes afectados, además de ofrecer servicios gratuitos de monitoreo de crédito durante 18 meses.
Según la nueva alerta, el acceso inicial a las redes objetivo se logra mediante servidores de redes privadas virtuales (VPN), a menudo aprovechando fallas de seguridad sin parches y credenciales comprometidas obtenidas a través de correos electrónicos de phishing.
Al establecerse, se observó que el equipo Daixin se movía lateralmente haciendo uso del protocolo de escritorio remoto (RDP) y el shell seguro (SSH), seguido de la obtención de privilegios elevados utilizando técnicas como el volcado de credenciales.
«Los actores han aprovechado cuentas privilegiadas para obtener acceso a VMware vCenter Server y restablecer contraseñas de cuentas para servidores ESXi en el entorno», dijo el gobierno de EE. UU. «Los actores luego usaron SSH para conectarse a servidores ESXi accesibles e implementar ransomware en esos servidores».
Además, el ransomware de Daixin Team se basa en otra cepa llamada Babuk que se filtró en septiembre de 2021 y se ha utilizado como base para varias familias de malware de cifrado de archivos como Rook, Night Sky, Pandora y Cheerscrypt.
Como medidas de mitigación, se recomienda que las organizaciones apliquen las últimas actualizaciones de software, apliquen la autenticación multifactor, implementen la segmentación de la red y mantengan copias de seguridad periódicas fuera de línea.