La Oficina Federal de Investigaciones (FBI, por sus siglas en inglés), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS) publicaron una advertencia conjunta (CSA) sobre el aumento de ransomware del Daixin Team.
Las agencias federales estadunidenses explicaron que se trata de un grupo de ciberdelincuencia que se dirige activamente a las empresas de Estados Unidos, predominantemente en el sector salud y salud pública (HPH), con operaciones de extorsión de datos y ransomware.
El grupo, detallan, comenzó a operar desde junio de 2022 y ha utilizado este tipo de ciberataque para cifrar servidores que proporcionan servicios para registros médicos electrónicos, diagnósticos, imágenes e intranet.
También han exfiltrado datos de identificación personal e información de salud de pacientes.
La advertencia es parte de un esfuerzo continuo llamado #StopRansomware para dar a conocer a los responsables de la ciberseguridad con detalles de varias variantes y actores de amenazas de ransomware.
A Estados Unidos preocupa impacto binacional por ciberataque a Sedena
Así opera Daixin Team
Las agencias advierten a los proveedores de salud que aseguren los servidores VPN, ya que así fue como el grupo obtuvo acceso a objetivos anteriores, incluido el aprovechamiento de un fallo sin parchear en el servidor VPN de la víctima.
En otro caso confirmado, los actores utilizaron credenciales previamente comprometidas para acceder a un servidor VPN heredado donde la autenticación multifactor (MFA) no estaba habilitada. Se cree que los actores han adquirido las credenciales de VPN a través de un correo electrónico de phishing con un archivo adjunto malicioso.