[États-Unis] Le nouveau rançongiciel du groupe Daixin cible les organisations de santé.

Le 21 octobre 2022, le FBI et le CISA et le HHS (Department of Health and Human Services) ont publié un bulletin d’alerte conjoint concernant un rançongiciel opéré par un groupe cybercriminel nommé Daixin.

Selon le rapport, ce groupe ciblerait des organisations du monde de la santé depuis le mois de juin 2022 dans l’objectif de réclamer des rançons à leurs victimes, les menaçant de ne pas déchiffrer leurs données et de publier celles ayant été volées.

Les attaques de Daixin se sont soldées jusqu’à présent par le vol de données médicales sensibles concernant des patients et le déploiement de rançongiciels visant au chiffrement de serveurs dédiés à la gestion de dossiers électroniques de santé, aux services de diagnostic et d'imagerie médicale, ou encore à des réseaux intranet hospitaliers.

Figure 1 Note de rançon Daixin (source : CISA)
Note de rançon Daixin (source : CISA)

Le groupe Daixin a par ailleurs développé un mode opératoire qui semble aujourd’hui éprouvé :

Les attaquants obtiennent en premier lieu un accès initial au travers de serveurs VPN compromis via différentes techniques : l’exploitation de vulnérabilités non corrigées ou, dans le cas de serveurs VPN non sécurisés par MFA, l’utilisation d’identifiants VPN obtenus par hameçonnage.

Une fois rentrés sur le réseau, les membres de « Daixin Team » se déplacent latéralement en utilisant Secure Shell (SSH) et Remote Desktop Protocol (RDP) dans l’objectif d’obtenir un accès privilégié aux serveurs ESXI via la récupération d’informations d’identification et la manipulation de comptes privilégiés.

Après avoir obtenu l’accès à ces serveurs, le groupe Daixin exfiltre plusieurs gigaoctets de données sensibles avant de déployer le rançongiciel sur les serveurs VMWare ESXI des réseaux visés.

Pour rappel, aux États-Unis en 2021, un signalement d’attaque par rançongiciel sur quatre concernait le secteur de la santé.

L’ANS a publié une fiche réflexe (disponible en référence) de gestion préventive du risque représenté par les rançongiciels à destination des organisations de santé.