Zsarolóvírus támadásokra figyelmezteti az Egyesült Államokbeli Közegészségügyi (HPH) szektort a CISA, az FBI, valamint az Egészségügyi és Szociális Minisztérium (HHS), a támadásokért a Daixin Team nevű csoportot teszik felelőssé.
Hogy segítsék a biztonsági szakemberek munkáját a támadások elleni védekezésben, illetve észlelésében, a szövetségi ügynökségek megosztották a támadásokra utaló indikátorokat (IoC) és TTP-ket (Tactics, Techniques, Procedures).
A Daixin Team 2022 júniusa óta célozza zsarolóvírus műveletekkel a HPH szektort, amely során számos egészségügyi szolgáltatást titkosítottak, többek között egészségügyi nyilvántartásokat, diagnosztikai és képalkotó rendszereket, illetve internetes szolgáltatásokat. A támadások során – még a titkosítás előtt – a Daixin Team ellopja a betegek egészségügyi (PHI) és személyazonosításra alkalmas (PII) adatait, így nem csupán a titkosított fájlok visszaállításával, hanem a szenzitív információk nyilvánosságra hozatalával is zsarolja áldozatait. Legtöbbször az egészségügyi szervezetek által alkalmazott VPN szolgáltatások ismert sérülékenységeit használják ki a támadásokhoz vagy a korábban megszerzett hitelesítő adatok segítségével szereznek hozzáférést egy olyan fiókhoz, aminél nem használnak többtényezős hitelesítést. Miután sikeresen bejutottak a szervezet hálózatába, egy RDP (Remote Desktop Protocol) és SSH (Secure Shell Protocol) segítségével oldalirányban terjeszkednek és növelik a jogosultságuk szintjén. Az elemzések szerint a kiberbűnözői csoport által alkalmazott zsarolóvírus a Babuk Locker kiszivárgott forráskódján alapszik és jellemzően az ESXI szervereket célozza, ahol a /vmfs/volumes/ könyvtárban található .vmdk, .vmem, .vswp, .vmsd, .vmx, .vmsn kiterjesztésű fájlokat titkosítja.
Kép forrása: BleepingComputer
A célkeresztben lévő szervezetek számára ajánlott az operációs rendszerek, szoftverek és firmware-ek mielőbbi frissítése, valamint a kétfaktoros azonosítás (2FA) alkalmazása azon fiókok esetén, ahol erre lehetőség van. Továbbá javasolt a munkatársaik tudatosító képzésekkel való felkészítése az adathalász támadások felismerésére, illetve az azzal kapcsolatos teendőikre.