CISA เตือนแฮกเกอร์ทีม Daixin โจมตีองค์กรด้านสุขภาพด้วย Ransomware
2022.10.25
CISA เตือนแฮกเกอร์ทีม Daixin โจมตีองค์กรด้านสุขภาพด้วย Ransomware
หน่วยข่าวกรองและความมั่นคงทางไซเบอร์ของสหรัฐฯ ได้เผยแพร่คำเตือนที่ปรึกษาร่วมกันเกี่ยวกับการโจมตีที่ก่อขึ้นโดยกลุ่มอาชญากรไซเบอร์ที่รู้จักกันในชื่อ Daixin Team ซึ่งมุ่งเป้าไปที่ภาคการดูแลสุขภาพในประเทศเป็นหลัก
“Daixin Team เป็นกลุ่มแรนซัมแวร์และกรรโชกข้อมูลซึ่งมุ่งเป้าไปที่ภาค HPH ด้วยแรนซัมแวร์และการดำเนินการกรรโชกข้อมูลตั้งแต่เดือนมิถุนายน พ.ศ. 2565” หน่วยงานกล่าว
การแจ้งเตือนดังกล่าวเผยแพร่เมื่อวันศุกร์โดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และกระทรวงสาธารณสุขและบริการมนุษย์ (HHS)
ในช่วงสี่เดือนที่ผ่านมา กลุ่มได้รับการเชื่อมโยงกับเหตุการณ์แรนซัมแวร์หลายครั้งในภาคการดูแลสุขภาพและสาธารณสุข (HPH) การเข้ารหัสเซิร์ฟเวอร์ที่เกี่ยวข้องกับบันทึกสุขภาพอิเล็กทรอนิกส์ การวินิจฉัย การถ่ายภาพ และบริการอินทราเน็ต
นอกจากนี้ ยังกล่าวอีกว่าได้ขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และข้อมูลสุขภาพของผู้ป่วย (PHI) ซึ่งเป็นส่วนหนึ่งของแผนการกรรโชกสองครั้งเพื่อประกันค่าไถ่จากเหยื่อ
หนึ่งในการโจมตีดังกล่าวมุ่งเป้าไปที่ศูนย์การแพทย์โอ๊คเบนด์เมื่อวันที่ 1 กันยายน พ.ศ. 2565 โดยกลุ่มอ้างว่าได้ดูดข้อมูลประมาณ 3.5GB ซึ่งรวมถึงข้อมูลผู้ป่วยและพนักงานมากกว่าหนึ่งล้านรายการ
นอกจากนี้ ยังเผยแพร่ตัวอย่างที่มีข้อมูลผู้ป่วย 2,000 รายการบนเว็บไซต์รั่วไหลของข้อมูล ซึ่งรวมถึงชื่อ เพศ วันเกิด หมายเลขประกันสังคม ที่อยู่ และรายละเอียดการนัดหมายอื่นๆตาม DataBreaches.net
อ้างอิงภาพ https://thehackernews.com
เมื่อวันที่ 11 ตุลาคม พ.ศ. 2565 บริษัทได้แจ้งเตือนลูกค้าเกี่ยวกับอีเมลที่ส่งโดย “บุคคลที่สาม” เกี่ยวกับการโจมตีทางไซเบอร์ โดยระบุว่าเป็นการแจ้งผู้ป่วยโดยตรงที่ได้รับผลกระทบ นอกเหนือจากการให้บริการตรวจสอบเครดิตฟรีเป็นเวลา 18 เดือน
ตามการแจ้งเตือนใหม่ การเข้าถึงเครือข่ายเป้าหมายในเบื้องต้นทำได้โดยใช้เซิร์ฟเวอร์เครือข่ายส่วนตัวเสมือน (VPN) ซึ่งมักจะใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยที่ไม่ได้รับการแก้ไขและข้อมูลประจำตัวที่ได้รับผ่านอีเมลฟิชชิ่ง
เมื่อตั้งหลักได้แล้ว ทีมงาน Daixin ก็สังเกตเห็นการเคลื่อนไหวด้านข้างโดยใช้โปรโตคอลเดสก์ท็อประยะไกล (RDP) และเชลล์ที่ปลอดภัย (SSH) ตามมาด้วยการเพิ่มสิทธิพิเศษโดยใช้เทคนิคต่างๆ เช่น การทิ้งข้อมูลรับรอง
“นักแสดงได้ใช้ประโยชน์จากบัญชีที่มีสิทธิพิเศษเพื่อเข้าถึง VMware vCenter Server และรีเซ็ตรหัสผ่านบัญชีสำหรับเซิร์ฟเวอร์ ESXi ในสภาพแวดล้อม” รัฐบาลสหรัฐฯ กล่าว “นักแสดงได้ใช้ SSH เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ ESXi ที่เข้าถึงได้และปรับใช้แรนซัมแวร์บนเซิร์ฟเวอร์เหล่านั้น”
ยิ่งไปกว่านั้น แรนซัมแวร์ของทีม Daixin ยังอิงจากสายพันธุ์อื่นที่เรียกว่า Babuk ซึ่งรั่วไหลในเดือนกันยายน 2021 และถูกใช้เป็นรากฐานสำหรับตระกูลมัลแวร์เข้ารหัสไฟล์จำนวนมาก เช่น Rook, Night Sky, Pandora และ Cheerscrypt
ในการบรรเทาผลกระทบ ขอแนะนำให้องค์กร ดังนี้ คือ
– ใช้การอัปเดตซอฟต์แวร์ล่าสุด
– บังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
– ใช้การแบ่งส่วนเครือข่าย และรักษาข้อมูลสำรองออฟไลน์เป็นระยะ
ที่มา… https://thehackernews.com/2022/10/cisa-warns-of-daixin-team-hackers.html
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
Gartner ระบุแนวโน้มความปลอดภัยทางไซเบอร์ยอดนิยมในปี 2024
การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้
2024.03.19
ข่าว
ค้นพบเป้าหมายใหม่ในการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์ก
การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์กเมื่อปีที่แล้วอาจไม่เกี่ยวข้องกับกลุ่มแฮ็ก Sandworm ที่เชื่อมโยงกับรัสเซีย ซึ่งเป็นข้อค้นพบใหม่จากการแสดง Forescout
2024.03.12
ข่าว
ความปลอดภัย
โซลูชั่น
การวางแผนสำหรับข้อผิดพลาดจากมนุษย์: การเพิ่มประสิทธิภาพอุปกรณ์เคลื่อนที่ด้วยข้อมูลประจำตัวดิจิทัล
90% ของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ และ 70% ของการละเมิดข้อมูลที่ประสบความสำเร็จนั้นเกิดขึ้นที่อุปกรณ์ปลายทาง หากไม่มีกลยุทธ์มือถือที่เน้นพนักงานเป็นศูนย์กลางในการวางแผนเชิงรุกสำหรับการใช้งานอุปกรณ์มือถือ แม้แต่อุปกรณ์มือถือที่เป็นขององค์กรและใช้ร่วมกันก็อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างมีนัยสำคัญ เปลืองงบประมาณ และทรัพยากรด้านไอที หรือถูกผลักไสให้อยู่ในลิ้นชักหรือชั้นวาง ตามรายงานของ Verizon ปี 2023 คาดว่า 90% ของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ และ 70% ของการละเมิดข้อมูลที่ประสบความสำเร็จนั้นเกิดขึ้นที่ อุปกรณ์ ปลายทาง การจัดการกับปัจจัยมนุษย์ในการใช้อุปกรณ์ถือเป็นสิ่งสำคัญในการรับรองความปลอดภัยและการปฏิบัติตามข้อกำหนด ในขณะเดียวกันก็เพิ่มการลงทุนบนอุปกรณ์เคลื่อนที่ให้สูงสุด
2024.03.07