Il ransomware attacca le organizzazioni sanitarie tramite VPN poco sicure • The Register

Le agenzie federali avvertono di un gruppo di minacce chiamato Daixin Team che sta utilizzando ransomware e tattiche di estorsione di dati per prendere di mira le organizzazioni sanitarie statunitensi.

In un recente avviso, la Cybersecurity and Infrastructure Security Agency (CISA), l’FBI e il Dipartimento della salute e dei servizi umani (HHS) hanno affermato che il gruppo ha attaccato più entità almeno da giugno, implementando ransomware per crittografare i dati sui server utilizzati per un intervallo di servizi, tra cui cartelle cliniche elettroniche (EHR), diagnosi, imaging e servizi intranet.

Daixin Team ha anche esfiltrato le informazioni di identificazione personale (PII) e le informazioni sulla salute del paziente (PHI) e ha minacciato di rilasciarle se l’importo richiesto non viene pagato.

Il gruppo di minacce ottiene l’accesso iniziale tramite i server VPN, hanno scritto le agenzie.

“In una compromissione confermata, gli attori hanno probabilmente sfruttato una vulnerabilità senza patch nel server VPN dell’organizzazione. In un’altra compromissione confermata, gli attori hanno utilizzato credenziali precedentemente compromesse per accedere a un server VPN legacy che non aveva l’autenticazione a più fattori (MFA) abilitata”.

Il team Daixin ha acquisito le credenziali VPN tramite un’e-mail di phishing che includeva un allegato dannoso. Una volta nel server VPN, i criminali informatici si spostano lateralmente attraverso la rete tramite Secure Shell (SSH) e Remote Desktop Protocol (RDP) e hanno cercato di ottenere l’accesso privilegiato all’account tramite il dumping delle credenziali e le tattiche pass-the-hash.

Gli account privilegiati hanno consentito agli aggressori di entrare nei server VMware vCenter per reimpostare le password degli account per i server ESXi e quindi distribuire ransomware su di essi, secondo le agenzie.

Hanno notato che i rapporti di terze parti collegano il ransomware di Daixin Team con il codice sorgente del malware Babuk Locker che è trapelato l’anno scorso.

“Oltre a distribuire ransomware, gli attori di Daixin hanno esfiltrato i dati dai sistemi delle vittime”, hanno scritto. “In un compromesso confermato, gli attori hanno utilizzato Rclone, un programma open source per gestire i file sul cloud storage, per esfiltrare i dati su un server privato virtuale (VPS) dedicato. In un altro compromesso, gli attori hanno utilizzato Ngrok, uno strumento proxy inverso per il proxy un servizio interno su un dominio Ngrok – per l’esfiltrazione dei dati.”

Le strutture sanitarie sono diventate uno degli obiettivi preferiti del settore pubblico da parte degli operatori di ransomware ed estorsioni, il che non sorprende data la quantità di dati sensibili in loro possesso, il numero di dispositivi connessi che utilizzano e il fatto che l’interruzione dell’assistenza intensiva potrebbe spingere le organizzazioni a pagare il riscatto. Secondo la società di sicurezza informatica Emsisoft, nel 2021 almeno 68 operatori sanitari che gestiscono 1.203 siti sono stati colpiti da ransomware.

Una di queste vittime era Scripps Health, che gestisce cinque ospedali tra le 24 località in cui operano. L’organizzazione ha affermato che l’attacco potrebbe costare loro fino a $ 112,7 milioni.

La società di consulenza finanziaria e di rischio Kroll ha affermato che nel secondo trimestre di quest’anno, l’assistenza sanitaria ha superato i servizi professionali come settore principale preso di mira dagli attacchi informatici, di cui il 33% erano operazioni di ransomware. Era anche comune vedere attacchi di doppia estorsione.

Nel primo trimestre, l’assistenza sanitaria ha rappresentato l’11% degli attacchi informatici, secondo Kroll. Questo è balzato al 21 percento nel trimestre successivo.

Lo ha detto Darren Williams, fondatore e CEO di Blackfog Il registro che l’assistenza sanitaria è costantemente tra i primi tre settori presi di mira dagli operatori di ransomware.

“Purtroppo, il settore è spesso un obiettivo debole in quanto ha livelli di protezione inferiori e una generale mancanza di investimenti nella sicurezza informatica”, ha affermato Williams, la cui azienda protegge dal ransomware e dall’esfiltrazione di dati.

“Sappiamo che praticamente tutti gli attacchi ransomware ora si concentrano sull’esfiltrazione dei dati. Il problema che abbiamo è che le organizzazioni continuano a fare affidamento sulle tecnologie difensive esistenti che semplicemente non sono all’altezza del compito di prevenire questi attacchi”.

HHS ha avvertito in un avviso all’inizio di quest’anno che il gruppo ransomware Hive stava prendendo di mira anche le strutture sanitarie.

Un successo quest’anno è stato l’OakBend Medical Center in Texas. Daixin Team si è preso il merito dell’attacco del 1 settembre, che ha portato alla chiusura delle comunicazioni e dei sistemi IT del centro medico.

Gli aggressori hanno anche esfiltrato dati interni, affermando di aver rubato più di un milione di documenti che includevano nomi, date di nascita, numeri di previdenza sociale e informazioni sul trattamento dei pazienti. Il Daixin Team ha minacciato di far trapelare le informazioni se il riscatto non fosse stato pagato.

In un aggiornamento dell’11 ottobre, OakBend ha scritto che alcuni pazienti hanno affermato di essere stati contattati via e-mail da “terze parti” in merito all’attacco informatico e ha avvertito che tutte le informazioni e gli aggiornamenti sulla situazione provengono dall’organizzazione sul suo sito Web o tramite posta diretta. Ha aggiunto che è ancora in corso un’indagine per determinare quali dati sono stati compromessi.

Le agenzie federali hanno definito i passaggi per mitigare gli attacchi del Daixin Team, tra cui mantenere aggiornati i sistemi operativi, il software e il firmware, richiedere l’AMF per quanto possibile, proteggere e monitorare RDP, disattivare SSH e implementare la segmentazione della rete. ®

Leave a Comment

Your email address will not be published. Required fields are marked *