首頁 > 安全研究 > 安全通報 > 安全通告

勒索病毒攻擊醫療機構網關和VPN事件通告

發布時間 2020-04-03

0x00 事件背景


REvil(又名為Sodinokibi)勒索病毒近日活動頻繁,它積極利用網關和VPN的漏洞在目標組織中站穩腳跟。成功利用漏洞后,攻擊者在安裝勒索軟件或其他惡意軟件有效負載之前,會竊取憑據、提升權限,并在內網橫向移動以確保持久性。這個排名全球第5大勒索病毒單單在去年就相繼入侵提供400家醫療診所在線備份服務公司 Digital Dental Record、倫敦外匯交易公司 Travelex,以及美國數據中心供應商 CyrusOne 的網絡并勒索贖金,導致服務中斷和客戶數據被加密。


當前全球籠罩在COVID-19疫情的陰影下,醫療機構比以往任何時候都更需要加強對內網的防護措施,以及更多的關注針對關鍵系統、可導致敏感信息泄露的攻擊活動。微軟也首次針對醫療機構發出安全通知,關于勒索病毒 REvil 攻擊醫療機構的攻擊活動。


微軟指出REvil/Sodinokibi去年以來攻擊手法多有重疊,攻擊者利用當前COVID-19疫情重復使用同樣的技倆、技術和手法(tactics、techniques,procedure,TTP)發動新攻擊,基本上沒有看到什么技術創新,最多只是利用人們恐懼心理和對信息的需求。這個勒索病毒背后的黑客組織,主要鎖定目前沒有時間或資源來審視安全防護的機構,針對其安全弱點發動攻擊來獲取利益。


微軟沒有說明有漏洞的VPN設備廠商,但最常見的是Pulse VPN。之前遭黑客攻擊的倫敦外匯交易公司 Travelex,就疑似是其Pulse VPN漏洞未修補,而遭到Sodinokibi入侵。


0x01 處置建議


建  議:

● 將所有可用的安全更新應用到VPN和防火墻;

● 監控并特別注意可遠程訪問的系統和服務;

● 打開減少攻擊面的規則,包括阻止憑證盜竊和勒索病毒活動的規則;

● 如果您有Office 365,可在Office VBA中打開AMSI。


臨時措施:

● 確認互聯網可訪問的系統和應用更新到最新的補丁,使用威脅和漏洞管理系統定期審核這些資產的漏洞、錯誤配置和可疑事件;

● 使用Azure多因素身份驗證(MFA)等解決方案保護遠程桌面網關。如果沒有MFA網關,請啟用網絡級身份驗證(NLA);

● 實行最小特權原則,避免使用域范圍的管理級服務帳戶,強制使用隨機復雜的本地管理員密碼;

● 監控暴力破解,檢查過多失敗的身份驗證嘗試(Windows安全事件ID 4625)

● 監控清除事件日志,特別是安全事件日志和PowerShell操作日志,Microsoft Defender ATP發出警報“事件日志已清除”,發生此情況時,Windows將生成事件ID 1102;

● 確定特權帳戶登錄和公開憑據的位置,監控和調查登錄類型屬性的登錄事件(事件ID 4624),域管理帳戶和其他具有高級權限的帳戶不應出現在工作站上;

● 盡可能利用Windows Defender防火墻和網絡防火墻來防止端點之間的RPC和SMB通信,可限制內網橫向移動和其它的攻擊活動。


0x02 參考鏈接


https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/

上一篇 下一篇