סוכנויות אבטחת סייבר ומודיעין אמריקאיות פרסמו אזהרה מייעצת משותפת מפני מתקפות סייבר המכוונות בעיקר למגזר הבריאות במדינה, על ידי כנופיית כופרה הידועה בשם קבוצת Daixin. "צוות Daixin הינו קבוצת כופרה וסחיטת נתונים שמטרתה מוסדות רפואיים והיא פועלת באמצעות כופרה וסחיטת נתונים מאז יוני 2022 לפחות", פרסמו הסוכנויות. ההתראה פורסמה ביום שישי על ידי ה- FBI, הסוכנות לאבטחת סייבר ותשתיות (CISA) ומחלקת הבריאות ושירותי האנוש (HHS).
במהלך ארבעת החודשים האחרונים, הקבוצה נקשרת לאירועי כופרה מרובים במגזר הבריאות, לרבות הצפנת שרתים הקשורים לרשומות בריאות אלקטרוניות, אבחון, הדמיה ושירותי אינטראנט. נאמר גם כי הוציא מידע אישי מזהה של מטופלים וכן מידע בריאותי כחלק מתוכנית סחיטה כפולה כדי להבטיח כופר מקורבנות. אחת ההתקפות הללו כוונה למרכז הרפואי OakBend ב- 1 בספטמבר, כשהקבוצה טוענת כי שמה ידה על כ- 3.5GB של נתונים, כולל למעלה ממיליון רשומות עם מידע על מטופלים ועובדים. הקבוצה גם פרסמה מדגם המכילה 2,000 רשומות מטופלים באתר הדלפת הנתונים שלה, לרבות שמות, מגדרים, תאריכי לידה, מספרי תעודת זהות, כתובות ופרטי פגישות (לפי DataBreaches.net). ב- 11 באוקטובר הודיע מתקן בריאות בטקסס ללקוחותיו על הודעות דוא"ל שנשלחו על ידי "צדדים שלישיים" בנוגע למתקפת הסייבר, תוך ציון שהוא מודיע ישירות לחולים שפרטיהם נחשפו במתקפת הסייבר ובנוסף, מציע שירותי ניטור אשראי בחינם למשך 18 חודשים.
לפי התראת סוכנויות אבטחת הסייבר והמודיעין האמריקאיות, גישה ראשונית לרשתות ממוקדות מושגת על ידי האקרים באמצעות שרתי רשת וירטואלית פרטית (VPN) ולעיתים קרובות מנוצלות חולשות אבטחה שטרם תוקנו וכן אישורי גישה שהושגו באמצעות דוא"ל דיוג. לאחר שהדיגו דריסת רגל, צוות Daixin נצפה נע לרוחב על ידי שימוש בפרוטוקול שולחן עבודה מרוחק (RDP) וב- SSH ולאחר מכן מושגות הרשאות גבוהות יותר באמצעות טכניקות כמו השלכת אישורים (התקפת השלכת אישורים או השלכת סיסמאות הינה התקפה מקוונת שבה האקר פורץ למכשיר או לתחנת עבודה וגונב את אישורי הגישה, בדרך כלל מזיכרון הגישה האקראית (RAM) של המכשיר). "ההאקרים מינפו חשבונות מועדפים כדי לקבל גישה ל- VMware vCenter Server ולאפס סיסמאות חשבונות עבור שרתי ESXi בסביבה", פרסמה ממשלת ארה"ב והוסיפה כי ההאקרים השתמשו אז ב- SSH כדי להתחבר לשרתי ESXi נגישים ולפרוס תוכנות כופר על השרתים הללו."
הכופרה של צוות Daixin מבוססת על זן בשם Babuk שהתגלה בספטמבר 2021 ושימש כבסיס למספר נוזקות המצפינות קבצים כמו Rook, Night Sky, Pandora ו- Cheerscrypt.
מומלץ לארגונים ליישם עדכוני תוכנה, לאכוף אימות רב-גורמי, ליישם פילוח הרשאות רשת ולבצע גיבויים תקופתיים.
