Daixin y sus ataques a la salud pública

La organización criminal de ciberactores el Daixin Team, ataca de forma rutinaria al sector médico público. En octubre del 2022, el FBI reporta un aumento de los ataques por estar organización en el sector sanitario público.

La actividad de Daixin Team comenzó alrededor de junio del 2022 realizando extorsiones y ciberataques con ransomware. Realizan la implementación del ransomware para cifrar toda la información, posteriormente realizan la exfiltración de información tanto del personal sanitario, como información sobre los expedientes de los pacientes. Una vez tienen la información, realizan la extorsión amenazando con divulgar todo si no pagan el rescate.

La manera en la que actúan

El primer paso que realizan los cibercriminales, es la explotación de alguna vulnerabilidad sin parchear del servicio VPN de la organización, también en otras ocasiones utilizaron credenciales comprometidas las cuales no tenían activado el MFA. La técnica para comprometer esas credenciales fue el conocido phishing.

Una vez dentro, realizaron movimientos laterales a través de SSH y RDP. Una vez obtenían una cuenta privilegiada, accedían a los servidores de virtualización y restablecer contraseñas de las cuentas en los distintos servidores y realizar junto con las conexiones SSH la implementación de los ransomware.   

Según el código analizado del ransomware, Daixin utiliza un código filtrado de Babuk Locker, según algunas muestras analizadas por el FBI. El objetivo de lo analizado eran los servidores ESXi y cifrar los archivos /vmfs/volumes/, también se escribe la nota de rescate para esa misma ruta.