行业新闻与博客

微软被迫以“同类首例”的方式警告数十家医院，称其网关和 VPN 设备容易受到勒索软件组织的攻击，这些组织正积极扫描暴露的端点。

这家科技巨头声称，REvil（Sodinokibi）变种背后的攻击者正在探索互联网中的脆弱系统，由于 COVID-19 迫使家庭作业，目前 VPN 的需求量很大。

该组织似乎正在重新利用去年在新攻击中使用的恶意软件基础结构，其目的是利用已经承受巨大压力的脆弱医疗保健组织来应对感染患者。

微软表示，这些“人为操作”攻击与商品勒索软件的努力不同，因为黑客利用了他们对系统管理和常见网络安全配置错误的广泛知识。

它继续说：“一旦攻击者渗透到网络中，他们就会根据在网络中发现的安全弱点和易受攻击的服务，进行彻底的侦查，并调整特权升级和横向移动活动。”

“在这些攻击中，攻击者通常会在未被发现的网络上持续存在，有时甚至会持续数月之久，并在以后部署勒索软件有效负载。这种勒索软件更难以修复，因为对于防御者而言，要去寻找更广泛的攻击以发现攻击者已建立持久性并识别受感染的电子邮件收件箱，凭据，端点或应用程序可能会充满挑战。

今年早些时候出现了报告，包括 REvil 的勒索软件攻击者针对 Citrix ADC 和 Gateway 产品中的漏洞。也有人怀疑该组织去年利用了 Pulse Security VPN 平台中的漏洞来危害 Travelex。

在国家网络安全中心（NCSC）和 NSA 推出警报去年十月，这些产品正由 APT 群体定位。

Microsoft 的建议是及时修补，仔细监视远程访问，在 Windows 中打开减少攻击面的规则以及在 Office 365 环境中打开 Office VBA 的 AMSI。

上个月发布的一份报告详细介绍了减少目标勒索软件的进一步措施。

本文由机器译制