微軟：不威脅洩漏資料的勒索軟體幫派仍然會竊取資料

微軟警告說，僅僅因為勒索軟體攻擊者沒有威脅要洩露公司的資料，這並不意味著他們沒有盜竊它。  

而且，在全球冠狀病毒大流行期間，人為操縱的勒索軟體幫派（通常與數百萬美元的贖金要求相關）並未停止活動。

實際上，他們在4月的前兩週內在目標網路上啟動了更多的檔案加密惡意軟體，這導致援助組織，醫療計費公司，製造，運輸，政府機構和教育軟體提供商陷入混亂。微軟。 

微軟表示，在四月的前兩週，勒索軟體攻擊的數量“略有上升”，通常來自幾個月前就已經可以訪問網路的勒索軟體組織。 

微軟威脅防護情報團隊說：“攻擊者從今年初開始就已經對目標網路造成了危害，並一直在等待他們透過利用勒索軟體獲利最大的機會來利用攻擊獲利。” 

微軟表示，這些攻擊表明這些組織確實不在乎它們在全球危機期間是否影響關鍵服務。  

該觀察結果與勒索軟體團伙發誓在COVID-19冠狀病毒大流行期間不襲擊醫院的報導背道而馳。4月初的攻擊還與微軟直接向醫院發出有史以來第一次警告以修補易受攻擊的VPN裝置有關，因為它看到了勒索軟體幫派。 

微軟說：“許多攻擊始於對脆弱的面向網際網路的網路裝置的利用；其他攻擊則利用暴力手段破壞了RDP伺服器。” 

“在這些特定的活動中，操作員可以訪問特權較高的管理員憑據，並準備在受到干擾時採取可能更具破壞性的行動。” 

微軟表示，妥協和勒索軟體部署之間存在長時間的滯後，這意味著防禦者應在部署之前尋找簽名活動，包括使用Mimikatz和Cobalt Strike等工具進行憑證盜竊和橫向移動活動。 

近期活動中針對的主要面向Internet的系統包括不帶多因素身份驗證的RDP和虛擬桌面終結點；不支援的平臺，例如Windows Server 2003和2008；錯誤配置的Web伺服器，包括IIS，電子健康記錄（EHR）軟體，備份伺服器或系統管理伺服器；易受攻擊的Citrix（Netscaler）ADC系統；和脆弱的脈衝安全的VPN。    

鑑於攻擊者不斷在網際網路上掃描這些未修補的系統，因此尚未修補這些系統中的漏洞的管理員會提出麻煩。

微軟還指出了勒索軟體關鍵群體之間的擔憂趨勢。在過去的幾個月中，多個勒索軟體幫派開始在加密資料之前先竊取資料，然後威脅說如果不支付贖金就將其線上洩漏。 

外媒已釋出了使用此策略的主要幫派列表，其中包括迷宮，Doppelpaymer和Revil（Sodinokibi）。   

微軟表示，這些攻擊者在部署勒索軟體後通常會保持對某些端點的控制，目的是在支付勒索錢後發起未來的攻擊。儘管有些團體因出售受害者的資料而享有盛譽，但即使是沒有廣告的幫派也走這條路，仍然可以檢視並竊取資料。

順便說一下，我從勒索軟體事件中得出了兩點資訊：

-公司支付了贖金，攻擊者仍然可以訪問網路。

-幾乎每個事件都有攻擊者檢視和竊取資料的證據。

這整個領域將是一個值得關注的領域。pic.twitter.com/hm3iLw31oa

-凱文·博蒙特（@GossiTheDog）2020年4月28日

微軟四月份部署的頂級勒索軟體有效負載列表包括RobbinHood，Maze，PonyFinal，Valet loader和REvil。其他包括Paradise，RagnarLocker，MedusaLocker和LockBit。 

微軟建議防禦者在網路中搜尋惡意的PowerShell，Cobalt Strike和其他滲透測試工具，這些工具看起來像是紅隊活動。他們還應該尋找對本地安全機構子系統服務（LSASS）的可疑訪問和可疑的登錄檔修改，以及篡改安全事件日誌的證據。 

防禦者應檢查的關鍵系統和漏洞包括： 

沒有MFA的RDP或虛擬桌面終端

受CVE-2019-19781影響的Citrix ADC系統

受CVE-2019-11510影響的Pulse Secure VPN系統

受CVE-2019-0604影響的Microsoft SharePoint伺服器

受CVE-2020-0688影響的Microsoft Exchange伺服器

受CVE-2020-10189影響的Zoho ManageEngine系統