勒索病毒攻击医疗机构网关和VPN事件通告
发布时间 2020-04-030x00 事件背景
REvil(又名为Sodinokibi)勒索病毒近日活动频繁,它积极利用网关和VPN的漏洞在目标组织中站稳脚跟。成功利用漏洞后,攻击者在安装勒索软件或其他恶意软件有效负载之前,会窃取凭据、提升权限,并在内网横向移动以确保持久性。这个排名全球第5大勒索病毒单单在去年就相继入侵提供400家医疗诊所在线备份服务公司 Digital Dental Record、伦敦外汇交易公司 Travelex,以及美国数据中心供应商 CyrusOne 的网络并勒索赎金,导致服务中断和客户数据被加密。
当前全球笼罩在COVID-19疫情的阴影下,医疗机构比以往任何时候都更需要加强对内网的防护措施,以及更多的关注针对关键系统、可导致敏感信息泄露的攻击活动。微软也首次针对医疗机构发出安全通知,关于勒索病毒 REvil 攻击医疗机构的攻击活动。
微软指出REvil/Sodinokibi去年以来攻击手法多有重叠,攻击者利用当前COVID-19疫情重复使用同样的技俩、技术和手法(tactics、techniques,procedure,TTP)发动新攻击,基本上没有看到什么技术创新,最多只是利用人们恐惧心理和对信息的需求。这个勒索病毒背后的黑客组织,主要锁定目前没有时间或资源来审视安全防护的机构,针对其安全弱点发动攻击来获取利益。
微软没有说明有漏洞的VPN设备厂商,但最常见的是Pulse VPN。之前遭黑客攻击的伦敦外汇交易公司 Travelex,就疑似是其Pulse VPN漏洞未修补,而遭到Sodinokibi入侵。
0x01 处置建议
建 议:
● 将所有可用的安全更新应用到VPN和防火墙;
● 监控并特别注意可远程访问的系统和服务;
● 打开减少攻击面的规则,包括阻止凭证盗窃和勒索病毒活动的规则;
● 如果您有Office 365,可在Office VBA中打开AMSI。
临时措施:
● 确认互联网可访问的系统和应用更新到最新的补丁,使用威胁和漏洞管理系统定期审核这些资产的漏洞、错误配置和可疑事件;
● 使用Azure多因素身份验证(MFA)等解决方案保护远程桌面网关。如果没有MFA网关,请启用网络级身份验证(NLA);
● 实行最小特权原则,避免使用域范围的管理级服务帐户,强制使用随机复杂的本地管理员密码;
● 监控暴力破解,检查过多失败的身份验证尝试(Windows安全事件ID 4625)
● 监控清除事件日志,特别是安全事件日志和PowerShell操作日志,Microsoft Defender ATP发出警报“事件日志已清除”,发生此情况时,Windows将生成事件ID 1102;
● 确定特权帐户登录和公开凭据的位置,监控和调查登录类型属性的登录事件(事件ID 4624),域管理帐户和其他具有高级权限的帐户不应出现在工作站上;
● 尽可能利用Windows Defender防火墙和网络防火墙来防止端点之间的RPC和SMB通信,可限制内网横向移动和其它的攻击活动。
0x02 参考链接
https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/
京公网安备11010802024551号