De FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Volksgezondheid hebben ziekenhuizen en andere zorginstellingen in de Verenigde Staten gewaarschuwd voor een ransomwaregroep die door middel van vpn-servers toegang tot netwerken weet te krijgen. De groep wordt Daixin Team genoemd en zou sinds juni van dit jaar actief zijn (pdf). Zo werden vorige maand nog meerdere Amerikaanse ziekenhuizen slachtoffer van de ransomwaregroep.

De aanvallers maken gebruik van vpn-servers om toegang tot de netwerken van hun slachtoffers te krijgen, aldus de FBI. Daarbij wordt misbruik gemaakt van bekende kwetsbaarheden in vpn-software en gestolen vpn-inloggegevens. Zo wisten de aanvallers bij in ieder geval één aanval op een legacy vpn-server in te loggen die geen gebruik van multifactorauthenticatie (MFA) maakte. Vermoedelijk zijn de vpn-inloggegevens door middel van phishing of malafide e-mailbijlages gestolen.

Zodra er toegang tot de vpn-server is verkregen gebruiken de aanvallers SSH (secure shell) en RDP (remote desktop protocol) om zich lateraal door het netwerk te bewegen. Door het toepassen van technieken als credential dumping en pass the hash proberen de aanvallers controle over accounts met hoge rechten te krijgen. Via deze accounts wordt er vervolgens op VMware vCenter-servers ingelogd en accountwachtwoorden voor ESXi-servers in het netwerk gereset. Via SSH maken de aanvallers verbinding met de ESXi-servers waar ze de ransomware op uitrollen. Ook stelen de aanvallers patiëntgegevens.

De versleutelde servers worden onder andere gebruikt voor het aanbieden van zorgdiensten, zoals elektronische patiëntendossiers, diagnostische diensten, scans en intranetten. Wanneer de getroffen ziekenhuizen en zorginstellingen het losgeld niet willen betalen dreigen de aanvallers de gestolen patiëntgegevens op internet te zetten. Om de aanvallen tegen te gaan worden zorginstanties aangeraden om beveiligingsupdates te installeren, MFA voor zoveel mogelijk diensten in te stellen en het personeel te trainen om phishingaanvallen te herkennen en rapporteren.