首页 > 安全钻研 > 安全传递 > 安全公告

勒索病毒攻击医疗机构网关和VPN事务公告

颁布功夫 2020-04-03

0x00 事务布景

REvil（别名为Sodinokibi）勒索病毒近日活动频仍，它积极利用网关和VPN的缝隙在指标组织中站稳脚跟。成功利用缝隙后，攻击者在装置勒索软件或其他恶意软件有效负载之前，会窃取痛处、提升权限，并在内网横向移动以确维悠久性。这个排名全球第5大勒索病毒单单在去年就相继入侵提供400家医疗诊地点线备份服务公司 Digital Dental Record、伦敦表汇买卖公司 Travelex，以及美国数据中心供给商 CyrusOne 的网络并勒索赎金，导致服务中断和客户数据被加密。

当前全球笼罩在COVID-19疫情的阴影下，医疗机构比以往任何时辰都更必要加强对内网的防护措施，以及更多的关注针对关键系统、可导致敏感信息泄露的攻击活动。微软也初次针对医疗机构发出安全通知，关于勒索病毒 REvil 攻击医疗机构的攻击活动。

微软指出REvil/Sodinokibi去年以来攻击手法多有沉叠，攻击者利用当前COVID-19疫情沉复使用同样的技俩、技术和手法（tactics、techniques，procedure，TTP）发起新攻击，根基上没有看到什么技术创新，最多只是利用人们震惊生理和对信息的需要。这个勒索病毒背后的黑客组织，重要锁定目前没有功夫或资源来审视安全防护的机构，针对其安全弱点发起攻击来获取利益。

微软没有注明有缝隙的VPN设备厂商，但最常见的是Pulse VPN。之前遭黑客攻击的伦敦表汇买卖公司 Travelex，就疑似是其Pulse VPN缝隙未建补，而遭到Sodinokibi入侵。

0x01 措置建议

建议：

● 将所有可用的安全更新利用到VPN和防火墙；

● 监控并出格把稳可远程接见的系统和服务；

● 打开削减攻击面的规定，蕴含阻止凭证偷窃和勒索病毒活动的规定；

● 若是您有Office 365，可在Office VBA中打开AMSI。

一时措施：

● 确认互联网可接见的系统和利用更新到最新的补丁，使用威胁和缝隙治理系统定期审核这些资产的缝隙、谬误配置和可疑事务；

● 使用Azure多成分身份验证（MFA）等解决规划�；ぴ冻套烂嫱�。若是没有MFA网关，请启用网络级身份验证（NLA）；

● 尝试最幼特权准则，预防使用域领域的治理级服务帐户，强造使用随机复杂的本地治理员密码；

● 监控暴力破解，查抄过多失败的身份验证尝试（Windows安全事务ID 4625）

● 监控断根事务日志，出格是安全事务日志和PowerShell操作日志，Microsoft Defender ATP发出警报“事务日志已断根”，产生此情况时，Windows将天生事务ID 1102；

● 确定特权帐户登录和公开痛处的地位，监控和调查登录类型属性的登录事务（事务ID 4624），域治理帐户和其他拥有高级权限的帐户不应呈此刻工作站上；

● 尽可能利用Windows Defender防火墙和网络防火墙来预防端点之间的RPC和SMB通讯，可限度内网横向移动和其它的攻击活动。

0x02 参考链接

https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

勒索病毒攻击医疗机构网关和VPN事务公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线