CISA 警告 Daixin Team 黑客使用勒索软件攻击卫生组织

美国网络安全和情报机构发布了联合咨询警告，警告称主要针对该国医疗保健行业的网络犯罪团伙“大新团队”实施了攻击。

“大信团队是一个勒索软件和数据勒索组织，至少从 2022 年 6 月开始就针对 HPH 部门进行勒索软件和数据勒索行动，”这些机构表示。

该警报由联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 以及卫生与公众服务部 (HHS) 于周五发布。

在过去四个月中，该组织与医疗保健和公共卫生 (HPH) 部门的多起勒索软件事件有关，对与电子健康记录、诊断、成像和内部网服务相关的服务器进行加密。

据说它还泄露了个人身份信息 (PII) 和患者健康信息 (PHI)，作为双重勒索计划的一部分，以从受害者那里获得赎金。

其中一次攻击针对的是2022 年 9 月 1 日的OakBend 医疗中心，该组织声称已经窃取了大约 3.5GB 的数据，其中包括超过 100 万条包含患者和员工信息的记录。

据DataBreaches.net称，它还在其数据泄露网站上发布了一个包含 2,000 条患者记录的样本，其中包括姓名、性别、出生日期、社会安全号码、地址和其他预约细节。

2022 年 10 月 11 日，它通知其客户“第三方”发送的有关网络攻击的电子邮件，称它除了提供 18 个月的免费信用监控服务外，还直接通知受影响的患者。

根据新警报，对目标网络的初始访问是通过虚拟专用网络 (VPN) 服务器实现的，通常利用未修补的安全漏洞和通过网络钓鱼电子邮件获得的受损凭据。

在获得立足点后，观察到大信团队通过使用远程桌面协议（RDP）和安全外壳（SSH）横向移动，然后使用凭证转储等技术获得提升的权限。

美国政府表示：“攻击者利用特权帐户访问 VMware vCenter Server 并重置环境中 ESXi 服务器的帐户密码。” “攻击者随后使用 SSH 连接到可访问的 ESXi 服务器并在这些服务器上部署勒索软件。”

更重要的是，大信团队的勒索软件基于另一种名为 Babuk 的毒株，该毒株于 2021 年 9 月泄露，并已被用作Rook、Night Sky、Pandora 和 Cheerscrypt等许多文件加密恶意软件家族的基础。

作为缓解措施，建议组织应用最新的软件更新、实施多因素身份验证、实施网络分段并维护定期脱机备份。