כנופיית הכופרה Daixin לקחה אחריות על מתקפת סייבר ופריצה למערכות המחשוב של חברת התעופה AirAsia Group. כנופיית הכופרה טוענת שהשיגה נתונים של יותר מחמישה מיליון נוסעים ועובדים. Daixin שיתפה דגימת נתונים כהוכחה לפריצה ורמזה שהיא תדליף את הנתונים. AirAsia Group היא חברת תעופה לוקוסט מלזית עם כ- 15,000 עובדים. לפי databreaches.net, הצפינה Daixin משאבים רבים ומחקה גיבויים ובכל זאת, לא עשתה כנופיית הכופרה מה שהיה ביכולתה לעשות בדרך כלל, כשכנופיית כופרה נתקלת בארגון לקוי כמו רשת המחשוב של AirAsia Group.
כנופיית הכופרה המכנה את עצמה צוות Daixin מכוונת באופן פעיל לעסקים בארה"ב בעיקר במגזר הבריאות, לפחות מאז יוני 2022. על פי נתוני CISA, הבולשת הפדרלית (FBI) ומחלקת הבריאות ושירותי האנוש, מתקיף צוות Daixin באמצעות כופרות ומצפין רשומות בריאות, אבחון, הדמיה ושירותי אינטראנט. כמו כן, נצפתה הכנופייה מצפינה מידע אישי מזהה ומידע בריאותי של מטופלים ומשתמשת בו לסחיטה, תוך איום לפרסם את הנתונים אם דרישות הכופר לא תיעננה.
כנופיית Daixin משיגה גישה ראשונית דרך שרתי רשת וירטואלית פרטית (VPN). יש לציין כי האקרים מנצלים נקודות תורפה שטרם תוקנו וגם פרטי גישה שנחשפו בעבר. לדברי עדי פרץ, מנהל אבטחת סייבר ב- Cyrebro, מנצלות כנופיות כופרה כמו Daixin מערכי IT לקויים ונראה שהפריצה ל- AirAsia היא דוגמא מובהקת לכך. Daixin ממנפת חולשות אבטחת VPN ומשתמשת בדיוג כדי להשיג גישה לרשת המחשוב של הקורבן שלהם. לאחר השגת גישה, הם ממנפים את הרשאות המשתמש שלהם ומשתמשים ב- RDP ו- SSH כדי לנוע לרוחב בתוך רשת הקורבן שלהם. בעוד שכנופיית הכופרה Daixin התמקדה במגזר הבריאות מוקדם יותר השנה, מעידה הפריצה האחרונה על כך שהם אופורטוניסטים מטבעם ומחפשים כל יעד עם השקעה נמוכה באבטחת סייבר. הכופרה של צוות Daixin מבוססת על קוד המקור של Babuk Locker אשר הודלף בעקבות מתקפת משטרת המטרו בעיר וושינגטון. במאי 2021 פרסמה קבוצת Babuk אלפי מסמכים משטרתיים רגישים ברשת האפלה. בספטמבר 2021 הודלף קוד המקור של Babuk בפורום פשעי סייבר בשפה הרוסית. "השימוש של Daixin ב- Babuk מצביע על כך שהם חסרים את המיומנות והיכולת לבנות כלים משלהם ובוחרים להשתמש בכלים זמינים", אמר פרץ.
