Equipe Daixin

A Daixin Team é uma gangue de ransomware com motivação financeira que está em operação desde junho de 2022 e que representa uma grave ameaça ao setor de saúde pública e de saúde pública (HPH) dos EUA. Embora o Daixin Team não tenha como alvo exclusivo o setor de HPH, ele afetou de forma aguda as organizações de serviços de saúde nos EUA, roubando registros eletrônicos de saúde, informações de identificação pessoal (PII) e informações de saúde do paciente (PHI) e comprometendo serviços de diagnóstico, imagem e intranet. 

Em uma notável violação no final de 2022, a Daixin Team explorou com sucesso o AirAsia Group, a maior companhia aérea da Malásia, vazando as PII de mais de 5 milhões de passageiros e registros de funcionários. Em fevereiro de 2023, a Daixin violou o conglomerado multibilionário B&G Foods. Nem a AirAsia nem a B&G Foods negociaram com o agente da ameaça, o que levou à divulgação de documentos internos roubados e dados de clientes no site de vazamentos da Daixin. 

A equipe do Daixin pune suas vítimas com uma tática de extorsão dupla, comprometendo a integridade do arquivo (tornando-o inutilizável) e ameaçando a divulgação pública dos dados roubados. O Daixin também é conhecido por criptografar recursos críticos de rede, incluindo máquinas virtuais, tornando-os indisponíveis, além de criptografar documentos e bancos de dados confidenciais.

A equipe do Daixin normalmente obtém acesso inicial às redes-alvo por meio de servidores de rede privada virtual (VPN) não seguros, explorando vulnerabilidades não corrigidas, configurações incorretas e credenciais roubadas. Em alguns casos, a Daixin usou campanhas de phishing para obter as credenciais de VPN de suas vítimas.

Uma vez dentro da rede da vítima, a Equipe Daxin realiza um reconhecimento de segundo estágio para extrair credenciais de rede interna do sistema infectado e usá-las para se mover lateralmente, principalmente via SSH e Remote Desktop Protocol (RDP). Para a exfiltração de dados, a Daixin usa o software de gerenciamento de armazenamento em nuvem Rclone e o aplicativo de proxy reverso Ngrok para enviar dados confidenciais para servidores privados virtuais fora da rede da vítima.

O módulo de criptografia do Daixin Team é baseado na variedade do ransomware Babuk Locker e usa esquemas diferentes para arquivos pequenos e grandes. Os arquivos pequenos são criptografados duas vezes com o algoritmo ChaCha8, enquanto os arquivos maiores são separados em três arquivos com apenas os primeiros 10 MB de cada seção criptografados. Os ataques da equipe Daixin redefinirão as senhas de administrador do servidor ESXi e implantarão o ransomware nesses servidores, criptografando arquivos em /vmfs/volumes/ com extensões.vmdk,.vmem,.vswp,.vmsd,.vmx e.vmsn, deixando uma nota de resgate em /vmfs/volumes/.

• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOPs) para lidar com e-mails e documentos suspeitos
• Garantir que as atualizações e os patches de segurança sejam aplicados em todo o ambiente de TI, incluindo produtos de segurança, sistemas operacionais e aplicativos
• Empregar infraestrutura de chave pública e impor o uso de autenticação multifatorial para fortalecer a autenticação e a autorização de todos os ativos e serviços essenciais
• Implementar ferramentas modernas de gerenciamento de identidade e acesso 
• Use dispositivos de segurança de rede, como IDS e firewalls de última geração, e fortaleça ainda mais uma rede e segmente sistemas críticos em uma VLAN/domínio Windows separado.
• Instale e configure produtos avançados de segurança de endpoint em todos os endpoints para detectar IOCs e tomar medidas defensivas para impedir a execução de cargas úteis do Daixin.
• Proteja a segurança e monitore todos os serviços de acesso remoto, como o Remote Desktop Protocol
• Use o princípio do menor privilégio ao arquitetar redes para evitar adicionar usuários ao grupo de administradores locais, a menos que seja necessário
• Proteja todos os PII e PHI de acordo com as regulamentações aplicáveis e os requisitos de conformidade de destino
• Manter uma estratégia sólida de backup que inclua backups off-line, criptografados e imutáveis de dados essenciais
• Desative o protocolo SMB (Server Message Block) sempre que possível e atualize todas as versões desatualizadas do SMB
• Manter backups off-line (air-gapped) dos dados e testar regularmente a integridade do backup e os procedimentos de restauração para atender às metas de RPO e RTO