微軟警告REvil勒索軟體攻擊醫院VPN漏洞

正當全球籠罩在武漢肺炎的陰影下，醫療機構成了最關鍵、絕不能遭受駭客攻擊的對象。微軟也首次針對醫療機構發出安全通知，警告一隻勒索軟體REvil正在入侵網路閘道及VPN漏洞。

微軟威脅情報中心（Microsoft Threat Intelligence）觀察到REvil（又名為Sodinokibi）近日積極活動，這隻全球第五大勒索軟體單單去年，就相繼入侵提供400家醫療診所線上備份服務的Digital Dental Record、倫敦外匯交易公司Travelex，以及美國資料中心供應商Cyrus One的網路並勒索金錢，有的服務無法運作，有的則是客戶檔案被加密。

微軟指出，REvil/Sodinokibi去年以來手法多有重疊，顯示攻擊者利用當前公衛危機重覆使用同樣的技倆、技術和手法（tactics、techniques, procedure, TTP）發動新攻擊，基本上沒有看到什麼技術創新，最多只是利用人們恐懼心理和對資訊的需求，而「客製」社交工程技倆。這隻勒索軟體背後的駭客組織，主要鎖定目前沒有時間或資源來審視安全防護的機構，例如沒有安裝修補程式、更新防火牆，及檢查使用者和端點權限和健康，針對其安全弱點發動攻擊，來獲取利益。

微軟也發現有數十家（several dozens）醫院的網路閘道及VPN裝置有漏洞，並向這些機構發出通知，並提供安全防護建議以免遭REvil（Sodinokibi）毒手。

微軟沒有說明有漏洞的VPN裝置，但媒體報導，最常見的是Pulse VPN。之前遭駭的倫敦外匯交易公司Travelex，就疑似是其Pulse VPN漏洞未修補，而遭到Sodinokibi入侵。

Sodinokibi和Ryuk、PwndLocker和Ako作者都未承諾在這段時間內，會暫停攻擊醫療機構。唯獨保證會手下留情的，是Maze和DoppelPaymer。

微軟也建議一般組織應確保VPN和防火牆安裝升級到最新軟體，特別注意event log是否有異常活動，使用威脅及弱點管理產品、並限縮使用者權限等措施。另外，Office 365用戶可以啟用防惡意程式掃瞄（Antimalware Scan Interface，AMISI）偵測巨集或其他scripts，而Office用戶可設定關閉巨集、可執行檔、新建程序及程序注入（process injection），以防止惡意程式隨文件執行。