پس از دسترسی به VPN، این گروه از پروتکل های راه دور SSH و RDP برای جابجایی جانبی استفاده کرد، سپس به دنبال حساب های ممتاز از طریق تخلیه اعتبار و «گذر از هش» بود، جایی که مهاجمان از هش رمز عبور سرقت شده برای جابجایی جانبی استفاده می کنند.
گروه Daixin همچنین داده های سیستم های قربانی را استخراج کرد.
بازیگران همچنین از حسابهای ممتاز برای دسترسی به VMware vCenter Server و بازنشانی رمز عبور حسابها برای سرورهای ESXi در محیط استفاده کردهاند. بر اساس توصیه، آنها از SSH برای اتصال به سرورهای ESXi در دسترس و استقرار باجافزار بر روی آن سرورها استفاده میکنند.
از آنجا که زندگی می تواند به این سیستم ها بستگی داشته باشد، ارائه دهندگان در این بخش به طور معمول توسط مجرمان سایبری هدف قرار می گیرند. داده های مرکز شکایات جرایم اینترنتی FBI (IC3) نشان می دهد که بخش بهداشت 25 درصد از شکایات باج افزار مربوط به گزارش قربانیان در تمام 16 بخش زیرساخت حیاتی را به خود اختصاص داده است.
در میان چندین کاهش، این توصیه میگوید که سازمانها باید وصله سرورهای VPN، نرمافزار دسترسی از راه دور، نرمافزار ماشین مجازی و آسیبپذیریهای شناخته شده CISA را در اولویت قرار دهند. همچنین توصیه میکند RDP را قفل کنید و SSH و همچنین Telnet، Winbox، و HTTP را برای شبکههای گسترده قفل کنید و در صورت فعال بودن، آنها را با رمزهای عبور قوی و رمزگذاری ایمن کنید. سازمانها همچنین باید از MFA برای خدمات تا حد امکان درخواست کنند.
همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟
آژانسها به ارائهدهندگان خدمات بهداشتی هشدار میدهند که سرورهای VPN را ایمن کنند، زیرا به این ترتیب گروه به اهداف قبلی، از جمله بهرهبرداری از یک نقص اصلاحنشده در سرور VPN قربانی، دسترسی پیدا کرد. در یک مورد تایید شده دیگر، بازیگران از اعتبارنامه های قبلاً به خطر افتاده برای دسترسی به سرور VPN قدیمی استفاده کردند که در آن احراز هویت چند عاملی (MFA) فعال نبود. اعتقاد بر این است که بازیگران اعتبار VPN را از طریق یک ایمیل فیشینگ با یک پیوست مخرب به دست آورده اند.
