正当全球笼罩在新冠肺炎的阴影下,医疗机构成了最关键、绝不能遭受黑客攻击的对象。微软也首次针对医疗机构发出安全通知,警告一只勒索软件REvil正在入侵网络网关及VPN漏洞。
微软威胁情报中心(Microsoft Threat Intelligence)观察到REvil(又名为Sodinokibi)近日积极活动,这只全球第五大勒索软件单单去年,就相继入侵提供400家医疗诊所线上备份服务的Digital Dental Record、伦敦外汇交易公司Travelex,以及美国数据中心供应商Cyrus One的网络并勒索金钱,有的服务无法运行,有的则是客户文件被加密。
微软指出,REvil/Sodinokibi去年以来手法多有重叠,显示攻击者利用当前公卫危机重复使用同样的技俩、技术和手法(tactics、techniques, procedure, TTP)发动新攻击,基本上没有看到什么技术创新,最多只是利用人们恐惧心理和对信息的需求,而“定制”社交工程技俩。这只勒索软件背后的黑客组织,主要锁定目前没有时间或资源来审视安全防护的机构,例如没有安装修补程序、更新防火墙,及检查用户和端点权限和健康,针对其安全弱点发动攻击,来获取利益。
微软也发现有数十家(several dozens)医院的网络网关及VPN设备有漏洞,并向这些机构发出通知,并提供安全防护建议以免遭REvil(Sodinokibi)毒手。
微软没有说明有漏洞的VPN设备,但媒体报道,最常见的是Pulse VPN。之前遭黑的伦敦外汇交易公司Travelex,就疑似是其Pulse VPN漏洞未修补,而遭到Sodinokibi入侵。
Sodinokibi和Ryuk、PwndLocker和Ako作者都未承诺在这段时间内,会暂停攻击医疗机构。唯独保证会手下留情的,是Maze和DoppelPaymer。
微软也建议一般组织应确保VPN和防火墙安装升级到最新软件,特别注意event log是否有异常活动,使用威胁及弱点管理产品、并限缩用户权限等措施。另外,Office 365用户可以激活防恶意程序扫描(Antimalware Scan Interface,AMISI)侦测宏或其他scripts,而Office用户可设置关闭宏、可执行文件、新建程序及程序注入(process injection),以防止恶意程序随文件执行。