首页 > 清静研究 > 清静转达 > 清静通告

勒索病毒攻击医疗机构网关和VPN事务通告

宣布时间 2020-04-03

0x00 事务配景

REvil（又名为Sodinokibi）勒索病毒克日活动频仍，，，，它起劲使用网关和VPN的误差在目的组织中站稳脚跟。。。乐成使用误差后，，，，攻击者在装置勒索软件或其他恶意软件有用负载之前，，，，会窃取凭证、提升权限，，，，并在内网横向移动以确坚长期性。。。这个排名全球第5大勒索病毒单单在去年就相继入侵提供400家医疗诊所在线备份效劳公司 Digital Dental Record、伦敦外汇生意公司 Travelex，，，，以及美国数据中心供应商 CyrusOne 的网络并勒索赎金，，，，导致效劳中止和客户数据被加密。。。

目今全球笼罩在COVID-19疫情的阴影下，，，，医疗机构比以往任何时间都更需要增强对内网的防护步伐，，，，以及更多的关注针对要害系统、可导致敏感信息泄露的攻击活动。。。微软也首次针对医疗机构发出清静通知，，，，关于勒索病毒 REvil 攻击医疗机构的攻击活动。。。

微软指出REvil/Sodinokibi去年以来攻击手法多有重叠，，，，攻击者使用目今COVID-19疫情重复使用同样的名目、手艺和手法（tactics、techniques，，，，procedure，，，，TTP）发动新攻击，，，，基本上没有看到什么手艺立异，，，，最多只是使用人们恐惧心理和对信息的需求。。。这个勒索病毒背后的黑客组织，，，，主要锁定现在没有时间或资源来审阅清静防护的机构，，，，针对其清静弱点发动攻击来获取利益。。。

微软没有说明有误差的VPN装备厂商，，，，但最常见的是Pulse VPN。。。之前遭黑客攻击的伦敦外汇生意公司 Travelex，，，，就疑似是其Pulse VPN误差未修补，，，，而遭到Sodinokibi入侵。。。

0x01 处置惩罚建议

建议：

● 将所有可用的清静更新应用到VPN和防火墙；；；；

● 监控并特殊注重可远程会见的系统和效劳；；；；

● 翻开镌汰攻击面的规则，，，，包括阻止凭证偷窃和勒索病毒活动的规则；；；；

● 若是您有Office 365，，，，可在Office VBA中翻开AMSI。。。

暂时步伐：

● 确认互联网可会见的系统和应用更新到最新的补丁，，，，使用威胁和误差治理系统按期审核这些资产的误差、过失设置和可疑事务；；；；

● 使用Azure多因素身份验证（MFA）等解决计划保�；；；ぴ冻套烂嫱�。。。若是没有MFA网关，，，，请启用网络级身份验证（NLA）；；；；

● 实验最小特权原则，，，，阻止使用域规模的治理级效劳帐户，，，，强制使用随机重大的外地治理员密码；；；；

● 监控暴力破解，，，，检查过多失败的身份验证实验（Windows清静事务ID 4625）

● 监控扫除事务日志，，，，特殊是清静事务日志和PowerShell操作日志，，，，Microsoft Defender ATP发出警报“事务日志已扫除”，，，，爆发此情形时，，，，Windows将天生事务ID 1102；；；；

● 确定特权帐户登录和果真凭证的位置，，，，监控和视察登录类型属性的登录事务（事务ID 4624），，，，域治理帐户和其他具有高级权限的帐户不应泛起在事情站上；；；；

● 尽可能使用Windows Defender防火墙和网络防火墙来避免端点之间的RPC和SMB通讯，，，，可限制内网横向移动和其它的攻击活动。。。

0x02 参考链接

https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

勒索病毒攻击医疗机构网关和VPN事务通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线