2022-12-08 02:45 (목)
미국 CISA, 랜섬웨어로 의료기관 공격하는 Daixin팀 경고
상태바
미국 CISA, 랜섬웨어로 의료기관 공격하는 Daixin팀 경고
  • 페소아 기자
  • 승인 2022.10.25 09:45
이 기사를 공유합니다

미국 사이버 보안 및 정보 기관은 주로 국가의 의료 부문을 대상으로 하는 Daixin Team으로 알려진 사이버 범죄 공격집단이 자행하는 공격에 대한 공동 권고 경고를 발표했다.

더해커뉴스에 따르면, 이들 기관은 "Daixin 팀은 최소 2022년 6월부터 랜섬웨어 및 데이터 갈취 작업으로 HPH 섹터를 표적으로 삼은 랜섬웨어 및 데이터 갈취 그룹"이라고 말했다.

이 경고는 FBI(연방수사국), CISA(사이버보안 및 인프라 보안국), HHS(보건복지부)에서 지난주 금요일 발표했다.

지난 4개월 동안 이 그룹은 전자 건강 기록, 진단, 영상 및 인트라넷 서비스와 관련된 서버를 암호화하는 의료 및 공중 보건(HPH) 부문의 여러 랜섬웨어 사고와 연결되어 있다.

또한 피해자로부터 몸값을 확보하기 위한 이중 갈취 계획의 일환으로 개인 식별 정보(PII)와 환자 건강 정보(PHI)를 유출한 것으로 알려졌다.

이러한 공격 중 하나는 2022년 9월 1일 OakBend Medical Center를 목표로 했으며 이 그룹은 환자 및 직원 정보가 포함된 100만 개 이상의 기록을 포함하여 약 3.5GB의 데이터를 빼돌렸다고 주장했다.

또한 DataBreaches.net에 따르면 이름, 성별, 생년월일, 사회 보장 번호, 주소 및 기타 약속 세부 정보가 포함된 2,000명의 환자 기록이 포함된 샘플을 데이터 유출 사이트에 게시했습니다.

2022년 10월 11일, 사이버 공격에 대해 "제3자"가 보낸 이메일을 고객에게 알렸고 피해 환자에게 직접 알리고 18개월 동안 무료 신용 모니터링 서비스를 제공한다고 밝혔다.

새로운 경고에 따르면 대상 네트워크에 대한 초기 액세스는 VPN(가상 사설망) 서버를 통해 이루어지며, 종종 패치되지 않은 보안 결함과 피싱 이메일을 통해 얻은 손상된 자격 증명을 이용한다.

발판을 마련한 후 Daixin 팀은 원격 데스크톱 프로토콜(RDP) 및 보안 셸(SSH)을 사용하여 측면 이동한 다음 자격 증명 덤핑과 같은 기술을 사용하여 높은 권한을 얻는 것이 관찰되었다.

미국 정부는 "공격자들은 권한 있는 계정을 활용하여 VMware vCenter Server에 액세스하고 해당 환경의 ESXi 서버에 대한 계정 비밀번호를 재설정했다. 그런 다음 공격자들은 SSH를 사용하여 액세스 가능한 ESXi 서버에 연결하고 해당 서버에 랜섬웨어를 배포했다."라고 말했다. 

게다가 Daixin 팀의 랜섬웨어는 2021년 9월에 유출된 Babuk라는 또 다른 변종을 기반으로 하며 Rook, Night Sky, Pandora 및 Cheerscrypt와 같은 여러 파일 암호화 맬웨어 제품군의 기반으로 사용되었다.

완화 조치로 조직에서는 최신 소프트웨어 업데이트를 적용하고, 다단계 인증을 시행하고, 네트워크 세분화를 구현하고, 정기적인 오프라인 백업을 유지하는 것이 좋다.

★정보보안 대표 미디어 데일리시큐!★