ransomware

Las agencias de ciberseguridad e inteligencia de EE. UU. publicaron una advertencia conjunta sobre los ataques perpetrados por una pandilla de ciberdelincuencia conocida como Daixin Team , cuyo objetivo principal es el sector de la salud en el país.

«El equipo Daixin es un grupo de ransomware y extorsión de datos que se ha dirigido al Sector HPH con operaciones de ransomware y extorsión de datos desde al menos junio de 2022», dijeron las agencias .

La alerta fue publicada el viernes por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS).

En los últimos cuatro meses, el grupo ha estado vinculado a múltiples incidentes de ransomware en el sector de la salud y la salud pública (HPH), servidores de cifrado relacionados con registros de salud electrónicos, diagnósticos, imágenes y servicios de intranet.

También se dice que extrajo información de identificación personal (PII) e información de salud del paciente (PHI) como parte de un esquema de doble extorsión para obtener rescates de las víctimas.

Secuestro de datos

Uno de esos ataques estuvo dirigido al OakBend Medical Center el 1 de septiembre de 2022, y el grupo afirmó haber desviado aproximadamente 3,5 GB de datos, incluidos más de un millón de registros con información de pacientes y empleados.

También publicó una muestra que contenía 2000 registros de pacientes en su sitio de fuga de datos, que incluía nombres, géneros, fechas de nacimiento, números de Seguro Social, direcciones y otros detalles de citas, según DataBreaches.net.

Secuestro de datos

El 11 de octubre de 2022, notificó a sus clientes sobre los correos electrónicos enviados por «terceros» sobre el ataque cibernético, afirmando que está informando directamente a los pacientes afectados, además de ofrecer servicios gratuitos de monitoreo de crédito durante 18 meses.

Según la nueva alerta, el acceso inicial a las redes objetivo se logra mediante servidores de redes privadas virtuales (VPN), a menudo aprovechando fallas de seguridad sin parches y credenciales comprometidas obtenidas a través de correos electrónicos de phishing.

Al establecerse, se observó que el equipo Daixin se movía lateralmente haciendo uso del protocolo de escritorio remoto (RDP) y el shell seguro (SSH), seguido de la obtención de privilegios elevados utilizando técnicas como el volcado de credenciales.

«Los actores han aprovechado cuentas privilegiadas para obtener acceso a VMware vCenter Server y restablecer contraseñas de cuentas para servidores ESXi en el entorno», dijo el gobierno de EE. UU. «Los actores luego usaron SSH para conectarse a servidores ESXi accesibles e implementar ransomware en esos servidores».

Además, el ransomware de Daixin Team se basa en otra cepa llamada Babuk que se filtró en septiembre de 2021 y se ha utilizado como base para varias familias de malware de cifrado de archivos como Rook, Night Sky, Pandora y Cheerscrypt .

Como medidas de mitigación, se recomienda que las organizaciones apliquen las últimas actualizaciones de software, apliquen la autenticación multifactor, implementen la segmentación de la red y mantengan copias de seguridad periódicas fuera de línea.

Fuente y redacción: thehackernews.com

Compartir