Sonntag, Dezember 4, 2022

Warnung: Diese Ransomware jagt Gesundheitsorganisationen über schwache VPN-Server

Bundesbehörden warnen vor einer Bedrohungsgruppe namens Daixin Team, die Ransomware und Datenerpressungstaktiken einsetzt, um US-Gesundheitsorganisationen anzugreifen.

In einer kürzlichen Warnung sagten die Cybersecurity and Infrastructure Security Agency (CISA), das FBI und das Department of Health and Human Services (HHS), dass die Gruppe seit mindestens Juni mehrere Einheiten angreift und Ransomware einsetzt, um Daten auf Servern zu verschlüsseln, die für verwendet werden eine Reihe von Diensten, einschließlich elektronischer Patientenakten (EHR), Diagnose-, Bildgebungs- und Intranetdienste.

Das Daixin-Team hat auch persönlich identifizierbare Informationen (PII) und Patientengesundheitsinformationen (PHI) exfiltriert und damit gedroht, sie freizugeben, wenn der angeforderte Betrag nicht bezahlt wird.

Die Bedrohungsgruppe erhält den ersten Zugriff über VPN-Server, schrieben die Behörden.

„Bei einer bestätigten Kompromittierung haben die Akteure wahrscheinlich eine ungepatchte Schwachstelle im VPN-Server der Organisation ausgenutzt. Bei einer anderen bestätigten Kompromittierung haben die Akteure zuvor kompromittierte Anmeldeinformationen verwendet, um auf einen alten VPN-Server zuzugreifen, auf dem die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war.“

Das Daixin-Team erwarb die VPN-Anmeldeinformationen über eine Phishing-E-Mail, die einen böswilligen Anhang enthielt. Sobald sie sich im VPN-Server befinden, bewegen sich Cyberkriminelle über Secure Shell (SSH) und Remote Desktop Protocol (RDP) seitlich durch das Netzwerk und versuchen, über Credential Dumping und Pass-the-Ban-Taktik-Hash privilegierten Zugriff auf das Konto zu erlangen.

Privilegierte Konten ermöglichten es Angreifern, in VMware vCenter-Server einzudringen, um Kontopasswörter für ESXi-Server zurückzusetzen und dann Ransomware darauf zu installieren, so die Behörden.

Sie stellten fest, dass Berichte von Drittanbietern die Ransomware Daixin Team mit dem Malware-Quellcode Babuk Locker verknüpfen, der letztes Jahr geleakt wurde.

„Zusätzlich zur Verbreitung von Ransomware haben Daixin-Akteure Daten aus Opfersystemen exfiltriert“, schrieben sie. „Bei einem bestätigten Kompromiss verwendeten die Akteure Rclone, ein Open-Source-Programm zur Verwaltung von Dateien in Cloud-Speichern, um Daten auf einen dedizierten virtuellen privaten Server (VPS) zu exfiltrieren.“ Bei einem anderen Kompromiss verwendeten die Akteure Ngrok, ein Reverse-Proxy-Tool für Proxying ein interner Dienst auf einer Ngrok-Domain – zur Datenexfiltration.“

Gesundheitseinrichtungen sind zu einem bevorzugten Ziel des öffentlichen Sektors für Ransomware- und Erpressungsbetreiber geworden, was angesichts der Menge an sensiblen Daten, die sie besitzen, der Anzahl der von ihnen verwalteten vernetzten Geräte und der Tatsache, dass eine Unterbrechung der Intensivpflege die Organisationen zur Zahlung zwingen könnte, nicht verwunderlich ist das Lösegeld. Laut dem Cybersicherheitsunternehmen Emsisoft waren im Jahr 2021 mindestens 68 medizinische Fachkräfte, die zusammen 1.203 Websites verwalten, von Ransomware betroffen.

Eines dieser Opfer war Scripps Health, das fünf Krankenhäuser unter den 24 Standorten betreibt, die es betreibt. Die Organisation sagte, der Angriff könne sie bis zu 112,7 Millionen Dollar kosten.

Das Finanz- und Risikoberatungsunternehmen Kroll sagte, dass das Gesundheitswesen im zweiten Quartal dieses Jahres professionelle Dienstleistungen als Top-Branche überholt hat, die Ziel von Cyberangriffen ist, von denen 33 % Ransomware-Operationen waren. Es war auch üblich, doppelte Erpressungsangriffe zu sehen.

Laut Kroll entfielen im ersten Quartal 11 % der Cyberangriffe auf das Gesundheitswesen. Diese stieg im folgenden Quartal auf 21 Prozent.

Sagte Darren Williams, Gründer und CEO von Blackfog Das Register dass das Gesundheitswesen durchweg zu den Top-3-Branchen gehört, die von Ransomware-Betreibern angegriffen werden.

„Leider ist die Branche oft ein schwaches Ziel, da sie ein geringeres Schutzniveau und einen allgemeinen Mangel an Investitionen in die Cybersicherheit hat“, sagte Williams, dessen Firma Schutz vor Ransomware und Datenexfiltration bietet.

„Wir wissen, dass sich praktisch alle Ransomware-Angriffe jetzt auf die Datenexfiltration konzentrieren. Das Problem, das wir haben, ist, dass sich Unternehmen weiterhin auf bestehende Verteidigungstechnologien verlassen, die diese Angriffe einfach nicht verhindern können.“

HHS warnte Anfang dieses Jahres in einem Advisory, dass die Hive-Ransomware-Gruppe auch Gesundheitseinrichtungen ins Visier nimmt.

Ein Hit in diesem Jahr war das OakBend Medical Center in Texas. Dem Daixin-Team wurde der Angriff vom 1. September zugeschrieben, bei dem die Kommunikations- und Computersysteme des medizinischen Zentrums lahmgelegt wurden.

Die Angreifer exfiltrierten auch interne Daten und behaupteten, mehr als eine Million Datensätze gestohlen zu haben, die Namen, Geburtsdaten, Sozialversicherungsnummern und Patientenbehandlungsinformationen enthielten. Das Daixin-Team drohte, die Informationen preiszugeben, wenn das Lösegeld nicht gezahlt würde.

In einem Update vom 11. Oktober schrieb OakBend, dass einige Patienten sagten, sie seien von „Dritten“ per E-Mail wegen des Cyberangriffs kontaktiert worden, und warnte davor, dass alle Informationen und Aktualisierungen zur Situation von der Organisation auf ihrer Website oder per Direktmail stammen. Er fügte hinzu, dass eine Untersuchung noch im Gange sei, um festzustellen, welche Daten kompromittiert worden seien.

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles