残酷的罪犯在网络上建立持久性达数月之久。
微软的威胁防护情报团队警告说,在大流行危机期间,勒索软件犯罪分子继续***健康中心和关键服务提供商,并已发布详细指南,说明如何降低遭受受害者***的风险。
微软表示,勒索软件***并非以自动方式进行。
取而代之的是,它们是由犯罪团伙进行的,这些犯罪团伙通过破坏面向互联网的网络设备来工作,以便在***和窃取并加密受害者数据的几个月之前就在脆弱的系统上建立存在。
微软指出,***者拥有多种媒介,可以利用它们进入受害者的网络,并在其中横向移动以获取凭据并为最终的勒索软件激活做准备。
Microsoft安全团队观察到的最近的勒索软件活动具有远程桌面协议或虚拟桌面系统,这些系统无法通过多因素身份验证进行保护。
较旧,不受支持且未打补丁的操作系统(例如密码弱的Microsoft Windows Server 2003和2008),配置错误的Web服务器(包括Internet Information Services),备份服务器,电子健康记录软件和系统管理服务器,目前都受到了***。
易受***的Citrix Application Delivery Controller和Pulse Secure也在勒索软件犯罪分子的视线范围内,应尽快进行修补。
勒索软件犯罪分子一旦获得了访问脆弱的,面向互联网的设备和端点的权限,便会尝试窃取管理员登录凭据,并使用Mimikatz和Cobalt Strike等常用工具在网络内横向移动。
他们还可以隐藏在网络上,以进行侦察和数据泄露。
随着横向移动的发生,***者可以创建新帐户,在Windows中修改组策略对象,添加计划的任务和注册操作系统服务,部署后门程序和远程访问工具以保持持久性,并等待适当的时机激活勒索软件以勒索受害者。
目前正在积极使用几种人为操作的勒索软件有效载荷。
微软说,这些公司包括RobbinHood,REvil / Sodinokibi,基于Java的PonyFinal和Maze,它们的运营商是最早出售从其***的技术提供商和公共服务中窃取数据的公司之一。
NetWalker是一项特殊的活动,目标是通过伪造的COVID-19主题电子邮件将医院和医疗保健提供者作为目标,并将勒索软件作为恶意的Visual Basic脚本文件提供。
微软表示,除了积极修补系统之外,还要注意恶意行为,例如篡改安全事件日志和其他用于逃避检测的技术,对本地安全授权子系统服务(LSASS)的可疑访问以及Windows Registry数据库修改,这些修改可能表明凭证盗窃正在发生。
微软表示,在可疑漏洞的最早阶段调查Windows事件日志,查找事件ID 4624和登录类型2或10可能表示***后的访问。
稍后,在WEL中搜索4或5型登录也可能表明怀疑有违规行为。
微软警告说,勒索软件犯罪分子对***对医疗保健提供者的影响没有丝毫no悔。
它们最近还对诸如外汇巨头Travelex和全球物流公司Toll Group等组织造成了广泛破坏,后者不得不在新年期间关闭其系统。