Etablissements de santé : la CISA émet une alerte au sujet du gang de ransomware Daixin Team
Plusieurs agences américaines, dont la CISA, ont publié une alerte de sécurité au sujet d'un groupe de cybercriminels nommés Daixin Team qui est à l'origine de nombreuses attaques informatiques ! Ce gang privilégie les attaques contre les établissements de santé et il a déjà fait plusieurs victimes aux États-Unis.
Pour rappel, la CISA (Cybersecurity & Infrastructure Security Agency) est l'agence gouvernementale des États-Unis qui est en charge des questions de cybersécurité, dans le même esprit que l'ANSSI en France. Cette alerte de sécurité est émise par la CISA, mais également le FBI, ainsi que l'agence de santé HHS (Health and Human Services).
Le gang Daixin Team est un groupe de ransomware qui applique le principe de la double extorsion : les données sont chiffrées, mais également exfiltrées. Dans le bulletin d'alerte, on peut lire : "Daixin Team est un groupe de ransomware et d'extorsion de données qui a ciblé le secteur hospitalier avec des opérations de ransomware et d'extorsion de données depuis au moins juin 2022."
Sur les 4 derniers mois, ce groupe de cybercriminels a été associé à plusieurs cyberattaques, notamment celle contre l'OakBend Medical Center. Cette attaque s'est déroulée le 1er septembre 2022 et durant laquelle les pirates ont pu exfiltrer 3,5 Go de données correspondant à 1 million d'enregistrements avec des informations sur les patients et les employés.
Pour compromettre l'infrastructure, les pirates informatiques s'appuient généralement sur un accès VPN. Ce dernier sert d'accès initial. Pour obtenir cet accès, soit ils exploitent une vulnérabilité présente dans le boîtier VPN (par exemple un pare-feu non à jour sur lequel un accès VPN est configuré), soit ils s'appuient sur une campagne de phishing pour dérober des identifiants. Dans le rapport, c'est précisé que le MFA n'était pas activé sur l'accès VPN.
Une fois l'accès initial obtenu, les pirates se déplacent sur les autres hôtes du réseau compromis en utilisant les protocoles RDP et SSH. La CISA précise : "Les pirates ont exploité des comptes privilégiés pour accéder à VMware vCenter Server et réinitialiser les mots de passe des comptes pour les serveurs ESXi dans l'environnement. Les pirates ont ensuite utilisé SSH pour se connecter aux serveurs ESXi accessibles et déployer le ransomware sur ces serveurs. ". Il s'avère que le ransomware utilisé par la Daixin Team serait basé sur le code source de Babuk. Tous les fichiers avec les extensions .vmdk, .vmem, .vswp, .vmsd, .vmx, et .vmsn stockés sous "/vmfs/volumes/" sont chiffrés par le ransomware.
Pour exfiltrer les données, les cybercriminels utilisent l'outil open source Rclone. D'ailleurs, la CISA précise que la présence de Rclone sur le serveur est un indicateur de compromission.
Cette alerte émise par les agences américaines montre qu'il n'y a pas qu'en France que les établissements de santé sont pris pour cible par les cybercriminels. En espérant que le groupe Daixin Team n'ait pas en tête de s'attaquer aux entités françaises.
