Cyberthreat.id – CISA, FBI, dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) memperingatkan bahwa kelompok kejahatan dunia maya yang dikenal sebagai Tim Daixin secara aktif menargetkan sektor Kesehatan dan Kesehatan Masyarakat (HPH) AS dalam serangan ransomware.

"Tim Daixin adalah grup ransomware dan pemerasan data yang menargetkan Sektor kesehatan dengan operasi ransomware dan pemerasan data setidaknya sejak Juni 2022," ungkap ketiga lembaga tersebut dalam nasihat bersama, sesuai yang dikutip dari Bleeping Computer.

Dalam nasihat tersebut disebutkan bahwa, sejak Juni, penyerang Tim Daixin telah dikaitkan dengan beberapa insiden ransomware sektor kesehatan di mana mereka telah mengenkripsi sistem yang digunakan untuk banyak layanan kesehatan, termasuk penyimpanan catatan kesehatan elektronik, diagnostik, layanan pencitraan, dan layanan intranet.

Mereka juga dikenal karena mencuri informasi kesehatan pasien (PHI) dan informasi identitas pribadi (PII) dan menggunakannya untuk pemerasan ganda untuk menekan korban agar membayar uang tebusan di bawah ancaman merilis informasi yang dicuri secara online.

Geng ransomware ini mendapatkan akses ke jaringan target dengan mengeksploitasi kerentanan yang diketahui di server VPN organisasi atau dengan bantuan kredensial VPN yang dikompromikan milik akun dengan otentikasi multi-faktor (MFA) dimatikan.

Begitu masuk, mereka menggunakan Remote Desktop Protocol (RDP) dan Secure Shell (SSH) untuk bergerak secara lateral melalui jaringan korban. ​Untuk menyebarkan muatan ransomware, mereka meningkatkan hak istimewa menggunakan berbagai metode, seperti pembuangan kredensial.

Akses istimewa ini juga digunakan untuk mendapatkan akses ke VMware vCenter Server dan mengatur ulang kata sandi akun untuk server ESXi dengan tujuan yang sama untuk mengenkripsi sistem menggunakan ransomware.

“Menurut laporan pihak ketiga, ransomware Tim Daixin didasarkan pada kode sumber Babuk Locker yang bocor,” kata mereka.

Pelaporan pihak ketiga ini serta analisis FBI menunjukkan bahwa ransomware menargetkan server ESXi dan mengenkripsi file yang terletak di /vmfs/volumes/ dengan ekstensi berikut: .vmdk, .vmem, .vswp, .vmsd, .vmx, dan . vmsn. Catatan tebusan juga ditulis ke /vmfs/volumes/."

Sebelum mengenkripsi perangkat korbannya, mereka menggunakan Rclone atau Ngrok untuk mengekstrak data yang dicuri ke server pribadi virtual (VPS) khusus. Untuk itu organisasi kesehatan A.S. disarankan untuk mengambil langkah-langkah keamanan. mempertahankan diri dari serangan Tim Daixin,