微软威胁情报中心(Microsoft Threat Intelligence)观察到 REvil(又名为Sodinokibi)近日积极活动,这只全球第 5 大勒索软件单单在去年,就相继入侵提供 400 家医疗诊所在线备份服务的 Digital Dental Record、伦敦外汇交易公司 Travelex,以及美国数据中心供应商 CyrusOne 的网络并勒索金钱,有的服务无法运作,有的则是客户档案被加密。
微软指出,REvil/Sodinokibi 去年以来手法多有重叠,显示攻击者利用当前公卫危机重复使用同样的技俩、技术和手法(tactics、techniques,procedure,TTP)发动新攻击,基本上没有看到什么技术创新,最多只是利用人们恐惧心理和对信息的需求,而「个性化」社交工程技俩。这个勒索软件背后的黑客组织,主要锁定目前没有时间或资源来审视安全防护的机构,例如没有安装修补程序、更新防火墙,及检查使用者和端点权限,针对其安全弱点发动攻击,来获取利益。
微软也发现有数十家(several dozens)医院的网络网关及 VPN 设备有漏洞,并向这些机构发出通知,并提供安全防护建议以免遭 REvil(Sodinokibi)毒手。
微软没有说明有漏洞的 VPN 设备,但最常见的是 Pulse VPN。之前遭黑客攻击的伦敦外汇交易公司 Travelex,就疑似是其 Pulse VPN 漏洞未修补,而遭到 Sodinokibi 入侵。
Sodinokibi 和 Ryuk、PwndLocker 和 Ako 作者都未承诺在这段时间内,会暂停攻击医疗机构。唯独保证会手下留情的,是 Maze 和 DoppelPaymer。
小编建议一般组织应确保 VPN 和防火墙安装升级到最新版本,还需要特别注意 event log 是否有异常活动,使用威胁和弱点管理产品、并限制或者缩小使用者权限等措施。另外,Office 365 用户可以启用防恶意程序扫描(Antimalware ScanInterface,AMISI)侦测巨集或其他 scripts,而 Office 用户可设定关闭巨集、可执行文件、新建程序和程序注入(process injection),以防止恶意程序随文件执行。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理