Μια επίθεση εναντίον ενός αμερικανικού αντικαρκινικού κέντρου αυτό το μήνα από μια άγνωστη ομάδα ransomware προκάλεσε μια αναταραχή στον τομέα της υγειονομικής περίθαλψης σχετικά με τις “σπάνια χρησιμοποιούμενες και πολύ αποτελεσματικές” τεχνικές του απειλητικού παράγοντα.

Δείτε επίσης: BlackCat ransomware: Οι hackers απειλούν να διαρρεύσουν δεδομένα του Reddit

Ενώ η ομάδα, η οποία αυτοαποκαλείται TimisoaraHackerTeam (THT), δεν είναι ευρέως γνωστή, έχει ιστορικό επιθέσεων σε ιατρικές εγκαταστάσεις εκμεταλλευόμενοι γνωστά τρωτά σημεία και χρησιμοποιώντας μια συγκεκριμένη προσέγγιση για να ελαχιστοποιήσει τον εντοπισμό.

Σε ειδοποίηση (PDF) σχετικά με την επίθεση σε καρκινικό κέντρο αυτόν τον μήνα, το Κέντρο Συντονισμού Κυβερνοασφάλειας στον τομέα της υγειονομικής περίθαλψης του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών (HC3) ανέφερε ότι η ομάδα THT ανακαλύφθηκε για πρώτη φορά από ερευνητές τον Ιούλιο του 2018 και είχε ως στόχο οργανισμούς υγειονομικής περίθαλψης σε όλο τον κόσμο.

Η HC3 δεν κατονόμασε τον τελευταίο στόχο της THT, αλλά δήλωσε ότι η επίθεση στο αντικαρκινικό κέντρο “κατέστησε μη διαθέσιμες τις ψηφιακές υπηρεσίες του, έθεσε σε κίνδυνο τις προστατευόμενες πληροφορίες υγείας των ασθενών και μείωσε σημαντικά την ικανότητα του ιατρικού κέντρου να παρέχει θεραπεία στους ασθενείς”.

Η έρευνα σχετικά με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) του THT υπέδειξε μια σύνδεση μεταξύ αυτού και ύποπτων κινεζικών ομάδων κακόβουλου λογισμικού, συμπεριλαμβανομένων των DeepBlueMagic και APT41, οι οποίες έχουν ιστορικό στοχοποίησης οργανισμών υγειονομικής περίθαλψης. Δεν είναι σαφές, ωστόσο, αν οι ομάδες είχαν κοινά μέλη ή απλώς χρησιμοποιούσαν παρόμοιες μεθόδους.

Δείτε επίσης: ΗΠΑ: Προσφέρουν ανταμοιβή $10 εκατ. για πληροφορίες σχετικά με τη ransomware συμμορία Clop

Τι είναι μια επίθεση LOTL;

Η υιοθέτηση μιας προσέγγισης “living-off-the-land” (LOTL) επέτρεψε στις ομάδες να κρυπτογραφούν αρχεία χωρίς να εντοπίζονται από λύσεις ασφαλείας. Μια επίθεση LOTL, που μερικές φορές περιγράφεται ως επίθεση κακόβουλου λογισμικού χωρίς αρχεία, είναι ένας τύπος τεχνικής που χρησιμοποιεί εφαρμογές

που θεωρούνται φιλικές και δεν επισημαίνονται ως κακόβουλες. Για παράδειγμα, μια επίθεση μπορεί να περιλαμβάνει εργαλεία των Windows, όπως το PowerShell και το Windows Management Instrumentation (WMI), για να ανοίξει ένα σύστημα σε μια επίθεση κακόβουλου λογισμικού.

Η HC3 ανέφερε ότι οι επιθέσεις ransomware της THT φαίνεται να στοχεύουν οργανισμούς υγειονομικής περίθαλψης με μεσαίους έως μεγάλους διακομιστές και ότι η ομάδα συχνά χρησιμοποιούσε κοινές εκμεταλλεύσεις ευπαθειών (CVE) κατά ευάλωτων VPN για να αποκτήσει αρχική απομακρυσμένη πρόσβαση στο δίκτυο του θύματος.

Δείτε επίσης: Des Moines: Η μεγαλύτερη σχολική περιφέρεια της Αϊόβα έπεσε θύμα ransomware

Η ομάδα THT εκμεταλλεύεται περιπτώσεις unpatched bug

Αυτό συνέβη στην τελευταία επίθεση της THT στο αντικαρκινικό κέντρο, όπου στόχευσε το FortiOS SSL-VPN της Fortinet για να εκμεταλλευτεί το CVE-2022-42475, μια ευπάθεια buffer overflow που βασίζεται σε heap και επιτρέπει σε απομακρυσμένους επιτιθέμενους να εκτελούν κώδικα ή εντολές χρησιμοποιώντας ειδικά διαμορφωμένα αιτήματα.

Η TimisoaraHackerTeam πήρε το όνομά της από τη ρουμανική πόλη Timisoara και οι ερευνητές λένε ότι η εξέταση του πηγαίου κώδικα του THT υποδηλώνει ότι δημιουργήθηκε από ρουμανόφωνους.

Σύμφωνα με την κοινοποίηση της HC3, μια επίθεση σε ένα γαλλικό νοσοκομείο τον Απρίλιο του 2021 αποδόθηκε στην THT, ενώ η πιο διαβόητη επίθεση που πραγματοποιήθηκε από την DeepBlueMagic ήταν στο Ιατρικό Κέντρο Hillel Yaffe στο Ισραήλ τον Αύγουστο του 2021.

Πηγή πληροφοριών: scmagazine.com