正當全球籠罩在肺炎疫情的陰影下,醫療機構成了最關鍵、絕不能遭受黑客攻擊的對象。微軟也首次針對醫療機構發出安全通知,警告勒索軟件 REvil 正在入侵網絡網關及 VPN 漏洞。
微軟威脅情報中心(Microsoft Threat Intelligence)觀察到 REvil(又名為Sodinokibi)近日積極活動,這隻全球第 5 大勒索軟件單單在去年,就相繼入侵提供 400 家醫療診所在線備份服務的 Digital Dental Record、倫敦外匯交易公司 Travelex,以及美國數據中心供應商 CyrusOne 的網絡並勒索金錢,有的服務無法運作,有的則是客戶檔案被加密。
微軟指出,REvil/Sodinokibi 去年以來手法多有重疊,顯示攻擊者利用當前公衛危機重複使用同樣的技倆、技術和手法(tactics、techniques,procedure,TTP)發動新攻擊,基本上沒有看到什麼技術創新,最多隻是利用人們恐懼心理和對信息的需求,而「個性化」社交工程技倆。這個勒索軟件背後的黑客組織,主要鎖定目前沒有時間或資源來審視安全防護的機構,例如沒有安裝修補程序、更新防火牆,及檢查使用者和端點權限,針對其安全弱點發動攻擊,來獲取利益。
微軟也發現有數十家(several dozens)醫院的網絡網關及 VPN 設備有漏洞,並向這些機構發出通知,並提供安全防護建議以免遭 REvil(Sodinokibi)毒手。
微軟沒有說明有漏洞的 VPN 設備,但最常見的是 Pulse VPN。之前遭黑客攻擊的倫敦外匯交易公司 Travelex,就疑似是其 Pulse VPN 漏洞未修補,而遭到 Sodinokibi 入侵。
Sodinokibi 和 Ryuk、PwndLocker 和 Ako 作者都未承諾在這段時間內,會暫停攻擊醫療機構。唯獨保證會手下留情的,是 Maze 和 DoppelPaymer。
小編建議一般組織應確保 VPN 和防火牆安裝升級到最新版本,還需要特別注意 event log 是否有異常活動,使用威脅和弱點管理產品、並限制或者縮小使用者權限等措施。另外,Office 365 用戶可以啟用防惡意程序掃描(Antimalware ScanInterface,AMISI)偵測巨集或其他>
閱讀更多 AI智慧 的文章
