CISA เตือนแฮกเกอร์ทีม Daixin โจมตีองค์กรด้านสุขภาพด้วย Ransomware


องค์กรด้านสุขภาพที่มีแรนซัมแวร์

หน่วยข่าวกรองและความมั่นคงทางไซเบอร์ของสหรัฐฯ ได้เผยแพร่คำเตือนที่ปรึกษาร่วมกันเกี่ยวกับการโจมตีที่ก่อขึ้นโดยกลุ่มอาชญากรไซเบอร์ที่รู้จักกันในชื่อ ทีม Daixin โดยมุ่งเป้าไปที่ภาคการดูแลสุขภาพในประเทศเป็นหลัก

“ทีม Daixin เป็นกลุ่มแรนซัมแวร์และกรรโชกข้อมูลซึ่งกำหนดเป้าหมายไปยังภาค HPH ด้วยแรนซัมแวร์และการดำเนินการกรรโชกข้อมูลตั้งแต่อย่างน้อยในเดือนมิถุนายน พ.ศ. 2565” หน่วยงานกล่าว

การแจ้งเตือนดังกล่าวเผยแพร่เมื่อวันศุกร์โดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และกระทรวงสาธารณสุขและบริการมนุษย์ (HHS)

ในช่วงสี่เดือนที่ผ่านมา กลุ่มได้รับการเชื่อมโยงกับเหตุการณ์แรนซัมแวร์หลายครั้งในภาคการดูแลสุขภาพและสาธารณสุข (HPH) การเข้ารหัสเซิร์ฟเวอร์ที่เกี่ยวข้องกับบันทึกสุขภาพอิเล็กทรอนิกส์ การวินิจฉัย การถ่ายภาพ และบริการอินทราเน็ต

นอกจากนี้ ยังกล่าวอีกว่าได้ขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และข้อมูลสุขภาพของผู้ป่วย (PHI) ซึ่งเป็นส่วนหนึ่งของแผนการกรรโชกสองครั้งเพื่อประกันค่าไถ่จากเหยื่อ

หนึ่งในการโจมตีดังกล่าวมุ่งเป้าไปที่ศูนย์การแพทย์โอ๊คเบนด์เมื่อวันที่ 1 กันยายน พ.ศ. 2565 โดยกลุ่มอ้างว่าได้ดูดข้อมูลประมาณ 3.5GB รวมทั้ง ข้อมูลผู้ป่วยและพนักงานมากกว่าหนึ่งล้านรายการ

นอกจากนี้ ยังเผยแพร่ตัวอย่างที่มีข้อมูลผู้ป่วย 2,000 รายการบนเว็บไซต์รั่วไหลของข้อมูล ซึ่งรวมถึงชื่อ เพศ วันเดือนปีเกิด หมายเลขประกันสังคม ที่อยู่ และรายละเอียดการนัดหมายอื่นๆ ตาม DataBreaches.net

เมื่อวันที่ 11 ตุลาคม พ.ศ. 2565 บริษัทได้แจ้งเตือนลูกค้าเกี่ยวกับอีเมลที่ส่งโดย “บุคคลที่สาม” เกี่ยวกับการโจมตีทางไซเบอร์ โดยระบุว่าเป็นการแจ้งผู้ป่วยโดยตรงที่ได้รับผลกระทบ นอกเหนือจากการให้บริการตรวจสอบเครดิตฟรีเป็นเวลา 18 เดือน

ตามการแจ้งเตือนใหม่ การเข้าถึงเครือข่ายเป้าหมายในเบื้องต้นทำได้โดยใช้เซิร์ฟเวอร์เครือข่ายส่วนตัวเสมือน (VPN) ซึ่งมักจะใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยที่ไม่ได้รับการแก้ไขและข้อมูลประจำตัวที่ได้รับผ่านอีเมลฟิชชิ่ง

ความปลอดภัยทางไซเบอร์

เมื่อตั้งหลักได้แล้ว ทีมงาน Daixin ก็สังเกตเห็นการเคลื่อนไหวด้านข้างโดยใช้โปรโตคอลเดสก์ท็อประยะไกล (RDP) และเชลล์ที่ปลอดภัย (SSH) ตามมาด้วยการเพิ่มสิทธิพิเศษโดยใช้เทคนิคต่างๆ เช่น การทิ้งข้อมูลรับรอง

“นักแสดงได้ใช้ประโยชน์จากบัญชีที่มีสิทธิพิเศษเพื่อเข้าถึง VMware vCenter Server และรีเซ็ตรหัสผ่านบัญชีสำหรับเซิร์ฟเวอร์ ESXi ในสภาพแวดล้อม” รัฐบาลสหรัฐฯ กล่าว “นักแสดงได้ใช้ SSH เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ ESXi ที่เข้าถึงได้และปรับใช้แรนซัมแวร์บนเซิร์ฟเวอร์เหล่านั้น”

ยิ่งไปกว่านั้น แรนซัมแวร์ของทีม Daixin ยังอิงจากสายพันธุ์อื่นที่เรียกว่า Babuk ซึ่งรั่วไหลในเดือนกันยายน 2021 และถูกใช้เป็นรากฐานสำหรับตระกูลมัลแวร์เข้ารหัสไฟล์จำนวนมาก เช่น Rook, Night Sky, Pandora และ Cheerscrypt

ในการบรรเทาผลกระทบ ขอแนะนำให้องค์กรใช้การอัปเดตซอฟต์แวร์ล่าสุด บังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย ใช้การแบ่งส่วนเครือข่าย และรักษาข้อมูลสำรองออฟไลน์เป็นระยะ





ข่าวต้นฉบับ