戴信团队的Cisa WARNS利用Ransomware攻击健康组织-讯岚网络信息安全

美国网络安全和情报机构发布了一个联合咨询警告，警告一个名为”戴信小组”的网络犯罪团伙实施的袭击，主要针对该国的医疗部门。

该机构称：”戴信团队是一个勒索软件和数据勒索小组，自2022年6月以来一直以勒索软件和数据勒索行动为目标。“

联邦调查局( FBI )、网络安全和基础设施安全局( CISA )以及卫生和公众服务部( HHS )星期五公布了这一警报。

在过去的四个月中，该集团在医疗和公共卫生( HPH )部门发生了多起勒索软件事件，加密了与电子健康记录、诊断、成像和内联网服务有关的服务器。

据说，它还将个人可识别信息( PII )和病人健康信息( PHI )作为双重勒索方案的一部分，以确保受害者的赎金。

其中一次袭击是2022年9月1日针对OakBend医疗中心的袭击，该组织声称已经虹吸了大约3.5 GB的数据，其中包括100多万条带有病人和雇员信息的记录。

根据DataBreaches . net的数据，它还在其数据泄漏网站上公布了一个包含2000份患者记录的样本，其中包括姓名、性别、出生日期、社会保障号码、地址和其他预约细节。

2022年10月11日，它向客户通报了”第三方”发送的有关网络攻击的电子邮件，表示除了提供18个月的免费信用监测服务外，还直接通知受影响的患者。

根据新的警报，通过虚拟专用网络( VPN )服务器实现对目标网络的初步访问，通常利用未修补的安全缺陷和通过网络钓鱼电子邮件获得的受损证书。

在获得立足点后，通过使用远程桌面协议( RDP )和安全外壳( SSH )，观察到了戴新团队的横向移动，然后使用凭证倾销等技术获得了提升的特权。

美国政府说：”行为者利用特权帐户来访问VMware vCenter平台服务器，并在环境中重置ESXi服务器的帐户密码。”然后，参与者使用SSH连接到可访问的ESXi服务器，并在这些服务器上部署勒索软件。”

不仅如此，大新团队的勒索软件基于2021年9月被泄露的另一株名为Babuk的菌株，并已被用作Rook、Night Sky、Pandora、Cheerscrypt等多个文件加密恶意软件家族的基础。