هشدار FBI: این گروه باج افزار سرورهای VPN با محافظت ضعیف را هدف قرار می دهد

گروه Daixin همچنین داده های سیستم های قربانی را استخراج کرد.

این گروه از باج افزار برای رمزگذاری سرورهای ارائه دهنده خدمات پرونده الکترونیک سلامت، تشخیص، تصویربرداری و اینترانت استفاده کرده است. آنها همچنین اطلاعات شناسایی شخصی و اطلاعات سلامت بیمار را استخراج کرده اند.

در میان چندین کاهش، این توصیه می‌گوید که سازمان‌ها باید وصله سرورهای VPN، نرم‌افزار دسترسی از راه دور، نرم‌افزار ماشین مجازی و آسیب‌پذیری‌های شناخته شده CISA را در اولویت قرار دهند. همچنین توصیه می‌کند RDP را قفل کنید و SSH و همچنین Telnet، Winbox، و HTTP را برای شبکه‌های گسترده قفل کنید و در صورت فعال بودن، آنها را با رمزهای عبور قوی و رمزگذاری ایمن کنید. سازمان‌ها همچنین باید از MFA برای خدمات تا حد امکان درخواست کنند.

fbi-hacker-left-align.jpg

FBI و آژانس های دیگر نسبت به افزایش باج افزارهای Daixin Team و حملات اخاذی داده ها از ارائه دهندگان خدمات بهداشتی هشدار می دهند.

همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟

از آنجا که زندگی می تواند به این سیستم ها بستگی داشته باشد، ارائه دهندگان در این بخش به طور معمول توسط مجرمان سایبری هدف قرار می گیرند. داده های مرکز شکایات جرایم اینترنتی FBI (IC3) نشان می دهد که بخش بهداشت 25 درصد از شکایات باج افزار مربوط به گزارش قربانیان در تمام 16 بخش زیرساخت حیاتی را به خود اختصاص داده است.

آژانس‌ها به ارائه‌دهندگان خدمات بهداشتی هشدار می‌دهند که سرورهای VPN را ایمن کنند، زیرا به این ترتیب گروه به اهداف قبلی، از جمله بهره‌برداری از یک نقص اصلاح‌نشده در سرور VPN قربانی، دسترسی پیدا کرد. در یک مورد تایید شده دیگر، بازیگران از اعتبارنامه های قبلاً به خطر افتاده برای دسترسی به سرور VPN قدیمی استفاده کردند که در آن احراز هویت چند عاملی (MFA) فعال نبود. اعتقاد بر این است که بازیگران اعتبار VPN را از طریق یک ایمیل فیشینگ با یک پیوست مخرب به دست آورده اند.

همچنین، در گزارش سالانه IC3 در سال 2021، بخش HPH 148 گزارش باج افزار را به خود اختصاص داده است. این بزرگترین منبع شکایات باج افزار در 649 گزارش باج افزار بود که در آن سال در 14 بخش زیرساخت حیاتی ارائه شد.


منبع: https://www.zdnet.com/article/fbi-warning-this-ransomware-group-is-targeting-poorly-protected-vpn-servers/#ftag=RSSbaffb68

بازیگران همچنین از حساب‌های ممتاز برای دسترسی به VMware vCenter Server و بازنشانی رمز عبور حساب‌ها برای سرورهای ESXi در محیط استفاده کرده‌اند. بر اساس توصیه، آنها از SSH برای اتصال به سرورهای ESXi در دسترس و استقرار باج‌افزار بر روی آن سرورها استفاده می‌کنند.

پس از دسترسی به VPN، این گروه از پروتکل های راه دور SSH و RDP برای جابجایی جانبی استفاده کرد، سپس به دنبال حساب های ممتاز از طریق تخلیه اعتبار و «گذر از هش» بود، جایی که مهاجمان از هش رمز عبور سرقت شده برای جابجایی جانبی استفاده می کنند.

دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و وزارت بهداشت و خدمات انسانی (HHS) هشدار مشترکی در مورد تیم دایکسین صادر کرد فعالیت علیه بخش مراقبت های بهداشتی و سلامت عمومی از ژوئن 2022.