示意圖,Photo by Marcelo Leal on https://unsplash.com/photos/6pcGTJDuf6M

正當全球籠罩在武漢肺炎的陰影下,醫療機構成了最關鍵、絕不能遭受駭客攻擊的對象。微軟也首次針對醫療機構發出安全通知,警告一隻勒索軟體REvil正在入侵網路閘道及VPN漏洞。

微軟威脅情報中心(Microsoft Threat Intelligence)觀察到REvil(又名為Sodinokibi)近日積極活動,這隻全球第五大勒索軟體單單去年,就相繼入侵提供400家醫療診所線上備份服務的Digital Dental Record、倫敦外匯交易公司Travelex,以及美國資料中心供應商Cyrus One的網路並勒索金錢,有的服務無法運作,有的則是客戶檔案被加密。

微軟指出,REvil/Sodinokibi去年以來手法多有重疊,顯示攻擊者利用當前公衛危機重覆使用同樣的技倆、技術和手法(tactics、techniques, procedure, TTP)發動新攻擊,基本上沒有看到什麼技術創新,最多只是利用人們恐懼心理和對資訊的需求,而「客製」社交工程技倆。這隻勒索軟體背後的駭客組織,主要鎖定目前沒有時間或資源來審視安全防護的機構,例如沒有安裝修補程式、更新防火牆,及檢查使用者和端點權限和健康,針對其安全弱點發動攻擊,來獲取利益。

微軟也發現有數十家(several dozens)醫院的網路閘道及VPN裝置有漏洞,並向這些機構發出通知,並提供安全防護建議以免遭REvil(Sodinokibi)毒手。

微軟沒有說明有漏洞的VPN裝置,但媒體報導,最常見的是Pulse VPN。之前遭駭的倫敦外匯交易公司Travelex,就疑似是其Pulse VPN漏洞未修補,而遭到Sodinokibi入侵。

Sodinokibi和Ryuk、PwndLocker和Ako作者都未承諾在這段時間內,會暫停攻擊醫療機構。唯獨保證會手下留情的,是Maze和DoppelPaymer。

微軟也建議一般組織應確保VPN和防火牆安裝升級到最新軟體,特別注意event log是否有異常活動,使用威脅及弱點管理產品、並限縮使用者權限等措施。另外,Office 365用戶可以啟用防惡意程式掃瞄(Antimalware Scan Interface,AMISI)偵測巨集或其他scripts,而Office用戶可設定關閉巨集、可執行檔、新建程序及程序注入(process injection),以防止惡意程式隨文件執行。


Advertisement

更多 iThome相關內容