紧急警报：Daixan 勒索软件集团袭击多家医疗服务提供商 媒体

Diaxin勒索病毒针对医疗行业的警告

关键要点

联邦机构，包括卫生部、联邦调查局FBI和网络安全及基础设施安全局CISA，警告称，Diaxin勒索病毒团伙正在积极针对医疗行业。根据来自多个联邦机构的紧急联合警报，自6月份以来，多家医疗提供组织遭遇了勒索并面临经济索赔。尽管Diaxin的网络攻击影响到各个行业，但公共卫生和医疗实体是其主要目标。

来自卫生与公众服务部、FBI和网络安全与基础设施安全局的联合警报揭示了Diaxin的攻击策略，并提供了关于如何应对这一紧迫威胁的建议，同时呼吁医疗服务机构采取快速行动以避免成为受害者。

“AHA的网络安全和风险国家顾问约翰里吉John Riggi在声明中表示，‘这一特别紧急的警报与目前针对医院和健康系统的勒索威胁直接相关。’医疗提供者应检查破坏指标，因为‘如果有任何迹象表明这种勒索病毒出现在医院或健康系统网络上，建议立即采取措施，以隔离和处理相关问题。’”

该警报指出，里吉还确认，如果在网络中发现任何勒索病毒相关的指示性证据IOCs，建议立即联系当地的FBI和CISA办公室。

医疗行业与Diaxin勒索病毒团伙的较量

自今年6月以来，Diaxin开始针对医疗行业进行勒索和网络攻击，留下了一系列网络中断和数据窃取的痕迹。这些攻击包括对医疗服务器上部署勒索病毒，利用医疗服务如电子健康记录、诊断、影像和内网作为杠杆，并且在提取的受保护健康信息和个人可识别信息的基础上进行勒索。

Diaxin最著名的受害者之一是OakBend医疗中心网络攻击，此事件导致网络瘫痪长达数周。该团伙在其暗网网站上发布的数据证据显示，从医院内部服务器提取了超过100万条记录。

通常，Diaxin通过攻击虚拟专用网络VPN服务器的弱点获得最初访问权限，而其勒索病毒变种基于Babuk Locker源代码。警报显示，在一次确认的事件中，Diaxin很可能利用了该组织VPN服务器中的未打补丁安全漏洞。在另一起入侵中，攻击者利用了对一个未实施多因素身份验证的旧版VPN的受损凭证。这些凭证是通过包含恶意链接的钓鱼邮件被盗取的。

“在一次确认的入侵中，攻击者使用了Rclone一个用于管理云存储上文件的开源程序将数据提取到一个专用的虚拟专用服务器上，”警报中提到。“在另一项入侵中，攻击者使用了Ngrok一个将内部服务反向代理到Ngrok域的工具进行数据提取。”

一旦进入网络，攻击者可以利用多种方式横向移动，包括远程桌面协议RDP和SSH。通过SSH访问，攻击者可以“连接到可访问的ESXi服务器并在这些服务器上部署勒索病毒。”

该团伙还被观察到试图通过凭证转储和“哈希传递”获取特权账户。成功的尝试使攻击者能够