最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

美国政府警告大信团队使用勒索软件攻击健康组织

网络安全 快米云 来源:快米云 302浏览

CISA

CISA、FBI 和卫生与公众服务部 (HHS) 警告说,一个名为 Daixin Team 的网络犯罪组织正在积极针对美国医疗保健和公共卫生 (HPH) 部门进行勒索软件攻击。

联邦机构还在今天发布的联合公告中分享了入侵指标 (IOC) 和策略、技术和程序 (TTP),以帮助安全专业人员检测和阻止使用这种勒索软件的攻击。

“大信团队是一个勒索软件和数据勒索组织,至少从 2022 年 6 月开始就针对 HPH 部门进行勒索软件和数据勒索行动,”该公告透露。

自 6 月以来,Daixin Team 攻击者与多起卫生部门勒索软件事件有关,他们对用于许多医疗服务的系统进行了加密,包括电子健康记录存储、诊断、成像服务和 Intranet 服务。

他们还以窃取患者健康信息 (PHI) 和个人身份信息 (PII) 并将其用于双重勒索以迫使受害者支付赎金而闻名,他们以在线发布被盗信息为威胁。

勒索软件团伙通过利用组织的 VPN 服务器中的已知漏洞或在属于关闭多因素身份验证 (MFA) 的帐户的受损 VPN 凭证的帮助下获得对目标网络的访问权限。

一旦进入,他们就会使用远程桌面协议 (RDP) 和安全外壳 (SSH) 在受害者的网络中横向移动。

大信团队赎金单
大信团队赎金票据(CISA/FBI/HHS)

​为了部署勒索软件有效负载,他们使用各种方法提升权限,例如凭证转储。

这种特权访问还用于“获得对 VMware vCenter Server 的访问权限并重置环境中 ESXi 服务器的帐户密码”,其目的与使用勒索软件加密系统的目的相同。

“根据第三方报告,大信团队的勒索软件是基于泄露的 Babuk Locker 源代码,” 联邦机构补充说。 

“这份第三方报告以及 FBI 分析表明,勒索软件以 ESXi 服务器为目标,并使用以下扩展名加密位于 /vmfs/volumes/ 中的文件:.vmdk、.vmem、.vswp、.vmsd、.vmx 和 . vmsn。赎金记录也会写入 /vmfs/volumes/。” 

在加密受害者的设备之前,他们使用 Rclone 或 Ngrok 将被盗数据泄露到专用的虚拟专用服务器 (VPS)。

建议美国卫生组织采取以下措施来防御大信团队的攻击:

  • 操作系统、软件和固件的更新在发布后立即安装。
  • 为尽可能多的服务启用网络钓鱼防护 MFA。
  • 培训员工识别和报告网络钓鱼企图。

8 月,CISA 和 FBI 还警告称,以 Zeppelin 勒索软件主要针对医疗保健和医疗行业而闻名的攻击者 可能会多次加密文件,从而使文件恢复更加乏味。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 美国政府警告大信团队使用勒索软件攻击健康组织