Microsoft釋出有關阻止勒索軟體攻擊的指南

​微軟今天警告說，針對醫療保健組織和關鍵服務正在進行的由人為操縱的勒索軟體活動正在進行，並分享了有關如何透過修補易受攻擊的面向網際網路的系統來阻止新漏洞的技巧。

許多此類攻擊始於操作人員，他們首先利用面向網際網路的網路裝置中的漏洞，或者透過強行強制RDP伺服器，然後部署勒索軟體有效載荷。

例如，Pulse VPN裝置過去一直是威脅參與者的攻擊目標，其中一種這樣的易受攻擊的裝置被認為是由Sodinokibi（REvil）進行的Travelex勒索軟體攻擊的背後。

其他勒索軟體幫派（例如DoppelPaymer和Ragnarok Ransomware）也利用Citrix ADC（NetScaler）CVE-2019-1978漏洞來鞏固受害者網路的邊緣。

正如微軟所詳述的那樣，部署勒索軟體和對系統進行加密的最後階段通常是在偵察階段之前，在此階段，攻擊者竊取了以後可用於勒索的資料，並收集憑據並在受害者的整個網路中橫向移動。

為了防止所有這些事情的發生，Microsoft建議潛在的受害者防止勒索軟體活動背後的威脅行為者利用他們通常濫用的弱點來發動攻擊。

降低成為勒索軟體受害者的風險

Microsoft威脅防護情報團隊解釋說：“為面向Internet的系統應用安全補丁對於防止這些攻擊至關重要。”

從Microsoft在最近的勒索軟體攻擊之後獲取的資料中，惡意行為者通常利用以下安全漏洞：

• 沒有多因素身份驗證（MFA）的遠端桌面協議（RDP）或虛擬桌面終結點
• 已終止支援並且不再獲得安全更新的較舊平臺（例如Windows Server 2003和Windows Server 2008）因使用而加劇弱密碼
• 錯誤配置的Web伺服器，包括IIS，電子健康記錄（EHR）軟體，備份伺服器或系統管理伺服器
• 受CVE-2019-19781影響的Citrix Application Delivery Controller（ADC）系統
• 受CVE影響的Pulse Secure VPN系統-2019-11510

儘管Microsoft尚未發現任何利用CVE-2019-0604（Microsoft SharePoint），CVE-2020-0688（Microsoft Exchange），CVE-2020-10189（Zoho ManageEngine）漏洞的近期攻擊，但根據歷史訊號，它們最終將成為被利用以獲取受害者網路中的訪問許可權，因此也值得對其進行檢查和修補。

檢測並響應持續的攻擊

組織還應在其環境中尋找活動的勒索軟體攻擊的跡象，例如幫助攻擊與紅色團隊活動（例如，惡意PowerShell，Cobalt Strike和其他滲透測試工具）融合在一起的工具，憑證盜竊活動或安全日誌。篡改。

一旦發現任何此類跡象，組織的安全運營團隊應立即採取以下措施來評估安全影響並防止有效載荷被部署：

• 調查受影響的端點和憑據
• 隔離受損的端點
• 檢查並重建帶有相關惡意軟體感染的裝置

透過搜尋和識別攻擊者本可以用作進入其網路的墊腳石的外圍系統來解決面向網際網路的漏洞，這是防禦勒索軟體攻擊的另一重要措施。

勒索軟體攻擊者的系統可能會在攻擊過程中嘗試濫用：

• 不具有MFA的RDP或虛擬桌面終結點
• 受CVE-2019-19781影響的Citrix ADC系統•受CVE-2019-11510影響的
• Pulse Secure VPN系統
• 受CVE-2019-0604影響的Microsoft SharePoint伺服器•受CVE-2019
• 影響的Microsoft Exchange伺服器2020-0688
• 受CVE-2020-10189影響的Zoho ManageEngine系統

勒索軟體幫派維持訪問受害者網路長達數月之久

微軟說：“多個勒索軟體團體在目標網路上積累了訪問並保持了幾個月的永續性，從而在2020年4月的前兩週啟用了數十個勒索軟體部署。”

“到目前為止，攻擊已影響到援助組織，醫療計費公司，製造，運輸，政府機構和教育軟體提供商，表明儘管全球危機，這些勒索軟體組織仍很少考慮它們所影響的關鍵服務。”

此外，醫療組織和關鍵服務並不是勒索軟體犯罪團伙的唯一目標，因此所有政府和私人組織都應採取先發制人的措施來減輕此類風險，並隨時準備採取應對措施。

正如微軟的威脅情報資料所顯示的那樣，被勒索的組織網路中最初的滲透日期可追溯到2020年初，攻擊者正等待最佳時機部署勒索軟體有效負載，從而從中獲得最大的經濟收益。

勒索軟體幫派使用的攻擊技術（Microsoft）

“與透過電子郵件提供勒索軟體的攻擊形成鮮明對比，這種攻擊通常以更快的速度展開，並且在最初進入一個小時內就部署了勒索軟體。我們在4月看到的攻擊類似於從2019年開始的Doppelpaymer勒索軟體活動，攻擊者可以利用這些攻擊提前幾個月影響了網路。”微軟補充道。

“然後他們在環境中保持相對休眠狀態，直到他們確定了部署勒索軟體的適當時機。

“在攻擊者部署了勒索軟體的網路上，他們故意在某些端點上維護其存在，目的是在支付贖金或重建系統後重新啟動惡意活動。

“此外，儘管這些團體中只有少數人因出售資料而臭名昭著，但幾乎所有人都被觀察到在這些攻擊期間檢視和洩露資料，即使他們尚未做廣告或出售也是如此。”

3月初，Microsoft分享了DoppelPaymer，Dharma和Ryuk背後的運營商使用的各種入口媒介和後利用技術的資訊，表明這些威脅行為者濫用的安全配置存在壓倒性重疊，這是他們毀滅性勒索攻擊的一部分。

微軟還從4月1日開始就其網路上易受攻擊的面向公眾的VPN裝置和閘道器向醫院發出警報。

在分析了勒索軟體攻擊對受害者的實際影響後，FBI在分析了收集到的加密貨幣錢包和勒索軟體贖金記錄後，FBI在今年的RSA安全會議上表示，受害者在過去六年中向勒索軟體運營商支付了超過1.4億美元。