Daixin Team Ransomware IOCs

ransomware IOC
Опубликовано

Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Министерство здравоохранения и социального обеспечения (HHS) выпускают этот совместный CSA, чтобы предоставить информацию о "Daixin Team", киберпреступной группе, которая активно атакует американские предприятия, преимущественно в секторе здравоохранения и общественного здоровья (HPH), с помощью программ-вымогателей и операций по вымогательству данных.


Daixin Team - это группа, занимающаяся вымогательством выкупных программ и данных, которая нацелилась на сектор здравоохранения и общественного здоровья с помощью выкупных программ и вымогательства данных, по крайней мере, с июня 2022 года. С тех пор киберпреступники из Daixin Team вызвали инциденты с вымогательским ПО в нескольких организациях сектора HPH, где они:

  • Развертывали программы-вымогатели для шифрования серверов, отвечающих за медицинские услуги, включая электронные медицинские карты, услуги диагностики, услуги визуализации и интранет-услуги, и/или
  • эксфильтрировали персональную идентифицируемую информацию (PII) и медицинскую информацию пациента (PHI) и угрожали раскрыть информацию, если не будет выплачен выкуп.

Действующие лица Daixin получают первоначальный доступ к жертвам через серверы виртуальных частных сетей (VPN). По сообщениям третьих сторон, программа-вымогатель Daixin Team основана на утечке исходного кода Babuk Locker. Помимо распространения программ-вымогателей, участники Daixin эксфильтрировали данные TA0010 из систем жертв.

В одном из подтвержденных случаев злоумышленники использовали Rclone - программу с открытым исходным кодом для управления файлами в облачном хранилище - для утечки данных на выделенный виртуальный частный сервер (VPS). В другом случае для утечки данных злоумышленники использовали Ngrok - инструмент обратного прокси для передачи внутренней службы на домен Ngrok.

Indicators of Compromise

SHA256

  • 19ed36f063221e161d740651e6578d50e0d3cacee89d27a6ebed4ab4272585bd
  • 475d6e80cf4ef70926a65df5551f59e35b71a0e92f0fe4dd28559a9deba60c28
  • 54e3b5a2521a84741dc15810e6fed9d739eb8083cb1fe097cb98b345af24e939
  • 9e42e07073e03bdea4cd978d9e7b44a9574972818593306be1f3dcfdee722238
  • ec16e2de3a55772f5dfac8bf8f5a365600fad40a244a574cbab987515aa40cbf
Похожие записи:
  1. Maui Ransomware IOCs
  2. Zeppelin Ransomware IOCs
  3. Qyick, Agenda, BlackCat, BlackBasta Ransomware IOCs
  4. Cheerscrypt Ransomware IOCs
  5. MafiaWare666 Ransomware IOCs
CERT-US Daixin Team Ransomware
Добавить комментарий