La CISA met en garde contre les hackers de l’équipe Daixin ciblant les organisations de santé avec un ransomware


Les agences américaines de cybersécurité et de renseignement ont publié un avertissement conjoint sur les attaques perpétrées par un gang de cybercriminels connu sous le nom de Équipe Daixin ciblant principalement le secteur de la santé dans le pays.

“L’équipe Daixin est un groupe de ransomware et d’extorsion de données qui cible le secteur HPH avec des opérations de ransomware et d’extorsion de données depuis au moins juin 2022”, ont déclaré les agences. a dit.

L’alerte a été publiée vendredi par le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le Department of Health and Human Services (HHS).

Au cours des quatre derniers mois, le groupe a été lié à plusieurs incidents de ransomware dans le secteur de la santé et de la santé publique (HPH), cryptant les serveurs liés aux dossiers de santé électroniques, aux diagnostics, à l’imagerie et aux services intranet.

Il aurait également exfiltré des informations personnelles identifiables (PII) et des informations sur la santé des patients (PHI) dans le cadre d’un double stratagème d’extorsion visant à obtenir des rançons des victimes.

L’une de ces attaques visait Centre médical d’OakBend le 1er septembre 2022, le groupe affirmant avoir siphonné environ 3,5 Go de données, y compris plus d’un million de dossiers contenant des informations sur les patients et les employés.

Il a également publié un échantillon contenant 2 000 dossiers de patients sur son site de fuite de données, qui comprenait des noms, des sexes, des dates de naissance, des numéros de sécurité sociale, des adresses et d’autres détails de rendez-vous, selon DataBreaches.net.

Le 11 octobre 2022, il a informé ses clients des e-mails envoyés par des “tiers” concernant la cyberattaque, indiquant qu’il informait directement les patients concernés, en plus d’offrir des services gratuits de surveillance du crédit pendant 18 mois.

Selon la nouvelle alerte, l’accès initial aux réseaux ciblés est obtenu au moyen de serveurs de réseau privé virtuel (VPN), tirant souvent parti des failles de sécurité non corrigées et des informations d’identification compromises obtenues via des e-mails de phishing.

La cyber-sécurité

Après avoir pris pied, l’équipe Daixin a été observée se déplaçant latéralement en utilisant le protocole de bureau à distance (RDP) et le shell sécurisé (SSH), puis en obtenant des privilèges élevés à l’aide de techniques telles que le vidage des informations d’identification.

“Les acteurs ont exploité des comptes privilégiés pour accéder à VMware vCenter Server et réinitialiser les mots de passe des comptes pour les serveurs ESXi dans l’environnement”, a déclaré le gouvernement américain. “Les acteurs ont ensuite utilisé SSH pour se connecter aux serveurs ESXi accessibles et déployer des ransomwares sur ces serveurs.”

De plus, le ransomware de l’équipe Daixin est basé sur une autre souche appelée Babuk qui a été divulguée en septembre 2021 et a été utilisée comme base pour un certain nombre de familles de logiciels malveillants de cryptage de fichiers telles que Rook, Night Sky, Pandora et Cheerscrypt.

Comme mesures d’atténuation, il est recommandé aux organisations d’appliquer les dernières mises à jour logicielles, d’appliquer l’authentification multifacteur, de mettre en œuvre la segmentation du réseau et de maintenir des sauvegardes hors ligne périodiques.



ttn-fr-57