Microsoft發現勒索軟件在疫情期間肆虐 提醒醫療組織以防受到侵害

勒索軟件攻擊專門挑選機構最弱的防線作攻擊目標。最近，醫療機構成為了最關鍵、最需要保障的重要系統，以免發生停機影響醫院運作或被盜取敏感資料。Microsoft 監察由人手操控的勒索軟件攻擊，並追蹤針對 VPN 裝置漏洞的勒索軟件 REvil（又名Sodinokibi），發現十多間醫院的 VPN 設備存有漏洞，並隨即向個別醫療機構發出特定通知，列出有關漏洞、黑客如何利用這些漏洞的重要訊息，建議醫療機構更新網絡安全設定，免受黑客入侵。

微軟追蹤勒索軟件REvil，有關情報顯示，去年觀察到的REvil使用的惡意軟件基礎結構與最近的VPN攻擊所使用的基礎結構之間存在重疊。這顯烈惡意軟件的攻擊不斷發展，即利用舊策略，技術和程序（TTP）來利用當前疫情危機進行新攻擊。在這些新的攻擊中，還沒有看到技術上的創新，只有增加人們的恐懼和對信息的迫切需求而度身定制的策略。採用人為操作的攻擊方法來鎖定最容易受到破壞的機構，它們沒有時間或資源來仔細檢查其安全狀況，例如安裝最新或更新防火牆以及檢查運行狀況和特權級別。

攻擊者似乎也正在加緊利用疫情危機，使用一些據稱致力於拯救醫療行業的勒索軟件組織。通過Microsoft的威脅情報源網絡，微軟鎖定數十家基礎設施中存在易受攻擊的網關和VPN設備的醫院。微軟向這些已經被病人淹沒的醫院發出通知，其中包含有關漏洞，攻擊者如何利用這些漏洞的重要信息，並強烈建議應用安全更新以抵禦這些特殊漏洞和其他漏洞的攻擊。

在管理VPN或虛擬專用服務器（VPS）基礎結構時，了解相關安全程序是十分重要。微軟情報團隊觀察到多個針對未有修補的VPN系統的國家和網絡犯罪分子。 2019年10月，美國國家安全局（NSA）和國家網絡安全中心（NCSC）都對這些攻擊發出了警報，並鼓勵企業進行修補。

隨著遙距工作日漸重要，Microsoft威脅防護服務（Microsoft Defender ATP，Office 365 ATP和Azure ATP）發現，REvil勒索軟件背後的攻擊者正在積極地掃描互聯網及其有價值的系統，並使用VPN客戶端的更新程序功能來部署惡意軟件。

如何檢測，保護和防止此類勒索軟件

微軟建議減低VPN漏洞威脅帶來的風險：

• 將所有可用的安全更新應用到VPN和防火牆配置。
• 監視並特別注意您的遠程訪問基礎結構。從安全產品中發現的任何事件或事件日誌中發現的異常都應立即進行調查。萬一遭到破壞，請確保重置這些設備上使用的任何帳戶的密碼，因為可能會洩露憑據。
• 啟用減少攻擊面的規則，包括阻止憑證盜竊和勒索軟件活動的規則。若要解決通過武器化的Office文檔啟動的惡意活動，請使用規則來阻止由Office應用程序啟動的高級宏活動，可執行內容，進程創建和進程注入。要評估這些規則的影響，請以審核模式部署它們。
• 如果有Office 365，可在Office VBA打開AMSI。