大新团队

Daixin Team 是一个自 2022 年 6 月开始运作的金融勒索软件团伙，对美国医疗保健和公共卫生 (HPH) 行业构成了严重威胁。虽然 Daixin Team 并不专门针对医疗和公共卫生部门，但它已严重影响了美国的医疗服务机构，窃取了电子健康记录、个人身份信息 (PII) 和患者健康信息 (PHI)，并破坏了诊断、成像和内网服务。 

在 2022 年末的一次著名入侵事件中，Daixin 团队成功入侵了马来西亚最大的航空公司亚航集团，泄露了 500 多万名乘客的 PII 和员工记录。2023 年 2 月，Daixin 入侵了价值数十亿美元的企业集团 B&G Foods。亚航和 B&G Foods 均未与该威胁行为者交涉，导致被盗内部文件和客户数据在代欣的泄漏网站上发布。 

Daixin 团队以双重勒索手段惩罚受害者，既破坏文件完整性（使其无法使用），又威胁公开被盗数据。据了解，Daixin 还会加密包括虚拟机在内的关键网络资源，除了加密敏感文档和数据库外，还使其无法使用。

Daixin Team 通常利用未修补的漏洞、错误配置和窃取的凭据，通过不安全的虚拟专用网络 (VPN) 服务器初步访问目标网络。在某些情况下，Daixin 利用网络钓鱼活动从受害者处获取 VPN 凭证。

进入受害者网络后，Daxin Team 会进行第二阶段侦察，从受感染系统中提取内部网络凭证，并利用这些凭证进行横向移动，主要是通过 SSH 和远程桌面协议 (RDP)。在数据外渗方面，Daixin 使用云存储管理软件Rclone和反向代理应用程序Ngrok将敏感数据发送到受害者网络之外的虚拟专用服务器。

Daixin Team 的加密模块基于 Babuk Locker 勒索软件菌株，对大小文件使用不同的方案。小文件使用 ChaCha8 算法加密两次，而大文件则分成三个文件，每部分只加密前 10 MB。Daixin 团队的攻击会重置 ESXi 服务器管理员密码，并在这些服务器上部署勒索软件，加密 /vmfs/volumes/ 中带有.vmdk、.vmem、.vswp、.vmsd、.vmx 和.vmsn扩展名的文件，并在 /vmfs/volumes/ 中留下赎金字条。

• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)
• 确保在整个 IT 环境中应用更新和安全补丁，包括安全产品、操作系统和应用程序
• 采用公钥基础设施并强制使用多因素身份验证，以加强对所有关键资产和服务的身份验证和授权
• 实施现代身份和访问管理工具 
• 使用 IDS 和新一代防火墙等网络安全设备，进一步加固网络并将关键系统划分到单独的 VLAN / Windows 域中
• 在所有端点上安装和配置高级端点安全产品，以检测 IOC，并采取防御措施阻止 Daixin 有效载荷的执行
• 加固安全性并监控远程桌面协议等任何远程访问服务
• 在构建网络时使用最小权限原则，除非需要，否则避免将用户添加到本地管理员组中
• 根据适用法规和目标合规要求，保护所有 PII 和 PHI 的安全
• 保持稳健的备份策略，包括关键数据的离线、加密和不可变备份
• 尽可能禁用服务器信息块（SMB）协议，并更新任何过时的 SMB 版本
• 维护离线（空气屏蔽）数据备份，定期测试备份完整性和恢复程序，以满足目标 RPO 和 RTO 要求