Equipo Daixin

Daixin Team es una banda de ransomware con motivaciones económicas que opera desde junio de 2022 y que ha supuesto una grave amenaza para el sector sanitario y de salud pública (HPH) estadounidense. Aunque Daixin Team no se dirige exclusivamente a este sector, ha afectado gravemente a organizaciones de servicios sanitarios en Estados Unidos, robando historiales médicos electrónicos, información de identificación personal (PII) e información sanitaria de los pacientes (PHI) y poniendo en peligro los servicios de diagnóstico, imagen e intranet. 

En una notable brecha a finales de 2022, Daixin Team explotó con éxito AirAsia Group, la mayor aerolínea de Malasia, filtrando la información personal de más de 5 millones de pasajeros únicos y registros de empleados. En febrero de 2023, Daixin vulneró el conglomerado multimillonario B&G Foods. Ni AirAsia ni B&G Foods negociaron con el actor de la amenaza, lo que llevó a la publicación de documentos internos robados y datos de clientes en el sitio de filtraciones de Daixin. 

Daixin Team castiga a sus víctimas con una doble táctica de extorsión, comprometiendo la integridad de los archivos (dejándolos inutilizables) y amenazando con la divulgación pública de los datos robados. Daixin también es conocido por cifrar recursos de red críticos, incluidas máquinas virtuales, dejándolas inutilizables además de cifrar documentos y bases de datos confidenciales.

El equipo Daixin suele obtener acceso inicial a las redes objetivo a través de servidores de redes privadas virtuales (VPN) no seguros, aprovechando vulnerabilidades no parcheadas, configuraciones erróneas y credenciales robadas. En algunos casos, Daixin ha utilizado campañas de phishing para obtener credenciales de VPN de sus víctimas.

Una vez dentro de la red de la víctima, el equipo Daxin lleva a cabo un reconocimiento de segunda fase para extraer las credenciales de la red interna del sistema infectado y utilizarlas para desplazarse lateralmente, principalmente a través de SSH y el protocolo de escritorio remoto (RDP). Para la exfiltración de datos, Daixin utiliza el software de gestión de almacenamiento en la nube Rclone y la aplicación de proxy inverso Ngrok para enviar datos confidenciales a servidores privados virtuales fuera de la red de la víctima.

El módulo de cifrado de Daixin Team se basa en la cepa de ransomware Babuk Locker y utiliza diferentes esquemas para archivos pequeños y grandes. Los archivos pequeños se cifran dos veces con el algoritmo ChaCha8, mientras que los archivos más grandes se separan en tres archivos y sólo se cifran los primeros 10 MB de cada sección. Los ataques del equipo Daixin restablecerán las contraseñas de administrador del servidor ESXi y desplegarán el ransomware en esos servidores, cifrando los archivos en /vmfs/volumes/ con extensiones.vmdk,.vmem,.vswp,.vmsd,.vmx y.vmsn, dejando una nota de rescate en /vmfs/volumes/.

• Considere la posibilidad de impartir formación de concienciación a los usuarios para instruir al personal sobre las técnicas de suplantación de identidad y elabore procedimientos operativos normalizados (PNT) para el tratamiento de correos electrónicos y documentos sospechosos.
• Garantizar que las actualizaciones y los parches de seguridad se aplican en todo el entorno informático, incluidos los productos de seguridad, los sistemas operativos y las aplicaciones.
• Utilizar infraestructuras de clave pública e imponer el uso de autenticación multifactor para reforzar la autenticación y autorización de todos los activos y servicios críticos.
• Implantar herramientas modernas de gestión de identidades y accesos 
• Utilizar dispositivos de seguridad de red como IDS y cortafuegos de última generación para reforzar aún más la red y segmentar los sistemas críticos en una VLAN o dominio de Windows independientes.
• Instale y configure productos avanzados de seguridad de puntos finales en todos los puntos finales para detectar IOC y tomar medidas defensivas para bloquear la ejecución de cargas útiles de Daixin.
• Refuerce la seguridad y supervise los servicios de acceso remoto, como el protocolo de escritorio remoto.
• Utilizar el principio del mínimo privilegio al diseñar redes para evitar añadir usuarios al grupo de administradores locales a menos que sea necesario.
• Proteger toda la IIP y la PHI de acuerdo con la normativa aplicable y los requisitos de cumplimiento de objetivos.
• Mantener una sólida estrategia de copias de seguridad que incluya copias de seguridad offline, encriptadas e inmutables de los datos críticos.
• Desactive el protocolo de bloque de mensajes de servidor (SMB) siempre que sea posible y actualice las versiones obsoletas de SMB.
• Mantener copias de seguridad de los datos fuera de línea (air-gapped) y comprobar periódicamente la integridad de las copias de seguridad y los procedimientos de restauración para cumplir los objetivos de RPO y RTO.