美国机构警告称，”戴信团队”用赎金瞄准卫生组织

CISA、FBI和卫生与公众服务部( Department of Health and Human Services，HHS )警告称，戴信团队网络犯罪集团正积极针对美国企业，主要是医疗和公共卫生部门( Healthcare and Public Health，HPH )，并进行勒索活动。

戴新团队是一个至少自2022年6月以来一直活跃的勒索软件和数据勒索团体。该小组的重点是HPH部门，其赎金业务旨在部署赎金，并泄漏个人识别信息( PII )和病人健康信息( PHI )，如果不支付赎金，就会威胁释放被盗数据。

岱信团队通过虚拟专用网络( VPN )服务器初步获得受害者的访问权限。在一次成功的攻击中，攻击者很可能利用了组织VPN服务器中的一个未修补漏洞。在另一个妥协方案中，该组利用妥协的凭据访问旧的VPN服务器。威胁行为者通过网络钓鱼攻击获得了VPN证书。

在获得目标VPN服务器的访问权限后，代心行为体通过安全外壳( SSH )和远程桌面协议( RDP )进行横向移动。

联邦机构发布的警报包括妥协指标( IOCs )和MITRE ATT & CK战术和技术。

攻击者通过各种方法升级权限，如凭证转储和传递哈希，以传递勒索软件。

行为体利用特权帐户获得对VMware vCenter平台Server的访问权限，并为环境中的ESXi服务器重置帐户密码[ T1098 ]。然后，参与者使用SSH连接到可访问的ESXi服务器，并在这些服务器上部署勒索软件[ T1486 ]。

根据第三方举报，该团伙使用的勒索软件基于Babuk Locker源代码。

戴鑫团队还利用Rclone和Ngrok工具对受害者系统进行了数据脱密。

以下是警报中提供的缓解措施：

·  在操作系统、软件和固件发布后立即安装更新。

·  对于尽可能多的服务，特别是webmail邮件、VPN、访问关键系统的帐户以及管理备份的特权帐户，需要具有抗钓鱼功能的MFA。

·  如果您使用远程桌面协议( RDP )，请保护并监视它。

·  关闭SSH和其他网络设备管理接口，例如用于广域网( WAN )的Telnet、Winbox和HTTP，并在启用时使用强密码和加密进行保护。

·  实现和实施多层网络分割，将最关键的通信和数据建立在最安全可靠的层上。

·  通过部署公钥基础设施和数字证书来限制对数据的访问，以验证与网络、物联网( IoT )医疗设备和电子健康记录系统的连接，并确保数据包在传输过程中不会受到中间人攻击的影响。

·  在内部系统上使用标准用户帐户，而不是 管理 帐户，这允许最重要的行政系统特权，并不保证最低特权。

·  利用传输层安全( Transport Layer Security，TPS )等技术，对采集点的PII / PHI进行安全防护，并对静止和过境时的数据进行加密。仅在受防火墙保护的内部系统上存储个人患者数据，并确保在数据遭到破坏时提供广泛的备份。

·  例如，通过在显示永久帐户号( PAN )时屏蔽它，并在存储通过密码学时使其不可读来保护存储的数据。

·  根据《1996年健康保险可携带性和问责制法》( HIPAA )等法规，确保PII和PHI的收集、存储和处理实践。实施HIPAA安全措施可以防止恶意软件在系统上的引入。

·  制定和定期审查规范PII / PHI的收集、存储、访问和监测的内部政策。

·  此外，FBI、CISA和HHS敦促所有组织，包括HPH部门组织，应用以下建议来准备、减轻/预防和应对勒索软件事件。