微軟警告REvil勒索軟體攻擊醫院VPN漏洞

正當全球籠罩在新冠肺炎的陰影下，醫療機構成了最關鍵、絕不能遭受黑客攻擊的對象。微軟也首次針對醫療機構發出安全通知，警告一隻勒索軟體REvil正在入侵網路網關及VPN漏洞。

微軟威脅情報中心（Microsoft Threat Intelligence）觀察到REvil（又名為Sodinokibi）近日積極活動，這隻全球第五大勒索軟體單單去年，就相繼入侵提供400家醫療診所線上備份服務的Digital Dental Record、倫敦外匯交易公司Travelex，以及美國數據中心供應商Cyrus One的網路並勒索金錢，有的服務無法運行，有的則是客戶文件被加密。

微軟指出，REvil/Sodinokibi去年以來手法多有重疊，顯示攻擊者利用當前公衛危機重複使用同樣的技倆、技術和手法（tactics、techniques, procedure, TTP）發動新攻擊，基本上沒有看到什麼技術創新，最多只是利用人們恐懼心理和對信息的需求，而「定製」社交工程技倆。這隻勒索軟體背後的黑客組織，主要鎖定目前沒有時間或資源來審視安全防護的機構，例如沒有安裝修補程序、更新防火牆，及檢查用戶和端點許可權和健康，針對其安全弱點發動攻擊，來獲取利益。

微軟也發現有數十家（several dozens）醫院的網路網關及VPN設備有漏洞，並向這些機構發出通知，並提供安全防護建議以免遭REvil（Sodinokibi）毒手。

微軟沒有說明有漏洞的VPN設備，但媒體報道，最常見的是Pulse VPN。之前遭黑的倫敦外匯交易公司Travelex，就疑似是其Pulse VPN漏洞未修補，而遭到Sodinokibi入侵。

Sodinokibi和Ryuk、PwndLocker和Ako作者都未承諾在這段時間內，會暫停攻擊醫療機構。唯獨保證會手下留情的，是Maze和DoppelPaymer。

微軟也建議一般組織應確保VPN和防火牆安裝升級到最新軟體，特別注意event log是否有異常活動，使用威脅及弱點管理產品、並限縮用戶許可權等措施。另外，Office 365用戶可以激活防惡意程序掃描（Antimalware Scan Interface，AMISI）偵測宏或其他scripts，而Office用戶可設置關閉宏、可執行文件、新建程序及程序注入（process injection），以防止惡意程序隨文件執行。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！