COVID-19大流行迫使许多员工在家中工作，而用于人工支持勒索软件帮派的基础设施正是这些人的目标。尽管一些勒索软件运营商表示，他们不会在COVID-19公共卫生突发事件期间攻击医疗保健组织，但并非所有网络犯罪团伙都对医疗保健行业放心，攻击仍在继续。

几个网络犯罪集团正在利用COVID-19大流行发挥自己的优势。应对大流行的策略，技术和程序（TTP）进行了更改，现在它们正在使用社会工程学策略，这种策略掠夺了对COVID-19的担忧以及对信息获取凭据的需求，从而可以在医疗保健网络中站稳脚跟。

在最好的时候，对医院的勒索软件攻击可能会导致大规模破坏。在医院试图应对大流行时发生的勒索软件攻击将严重阻碍其治疗COVID-19患者的努力。Microsoft承诺在COVID-19危机期间帮助保护关键服务，并且最近向医疗保健组织提供了建议，以帮助他们防御人为操纵的勒索软件攻击。

微软一直在跟踪勒索软件帮派的活动，并且从其广泛的威胁情报来源网络获得的信息表明，一些人为操作的勒索软件帮派正在利用网关设备和虚拟专用网络（VPN）设备中的漏洞，这些漏洞使远程工作者可以登录到他们的计算机。网络。

REvil（Sodinokibi）是最多人操作的勒索软件团伙之一，一直在利用网关和VPN设备中的漏洞。利用漏洞来窃取凭据，然后提升特权，并且攻击者在部署勒索软件和其他恶意软件有效载荷之前会横向移动以危害尽可能多的设备。

微软表示，这些攻击者技能娴熟，具有丰富的系统管理知识，并且意识到可以利用的常见网络安全配置错误。威胁参与者根据他们在医疗网络侦察期间发现的安全弱点和易受攻击的服务来调整其技术，并经常在部署勒索软件之前在网络中花费数周或数月。

微软报告说，REvil帮派一直在扫描Internet以识别易受攻击的系统，并在COVID-19大流行期间利用VPN和网关的使用增加来支持远程工作者。被利用的漏洞通常在要解决的优先级列表中处于较低水平，因此在相当长的一段时间内仍无法得到解决。

在调查过程中，通过其威胁情报源，Microsoft确定了几家医院，这些医院的基础架构中都存在易受攻击的网关和VPN设备。识别出的漏洞与REvil帮派利用的漏洞完全相同。Microsoft已直接通知这些医院以告知有关缺陷，并强烈建议它们立即进行更新以防止利用这些漏洞。

微软解释说，管理VPN和虚拟专用服务器（VPS）基础结构需要了解相关安全补丁程序的当前状态。该公司建议所有具有VPN和VPS基础结构的组织应进行彻底的审查，并确定可用的任何更新，并尽快应用这些更新。

几个月来，民族国家和网络犯罪分子一直以未打补丁的VPN系统为目标，并通过利用远程工作人员来量身定制漏洞利用方法，经常利用VPN客户端使用的更新程序服务来部署恶意软件有效载荷。

Microsoft建议医疗保健组织应：

• 将所有可用的安全更新应用到VPN和防火墙配置。

• 监控远程访问基础架构并立即调查异常

• 如果发现危害，请执行密码重置

• 启用减少攻击面的规则以阻止凭证盗窃和勒索软件活动。

• 由Office应用程序启动的块宏，可执行内容，进程创建和进程注入。

• 如果您有Office 365，请为Office VBA打开AMSI。

• 强化面向互联网的资产并应用最新的安全更新

• 确保远程桌面网关的安全，并使用多重身份验证（MFA）或启用网络级身份验证（NLA）。

• 实行最低特权原则

• 保持良好的凭证卫生。

• 监视暴力攻击并调查过多的身份验证尝试失败

• 监视是否清除事件日志，尤其是安全事件日志和PowerShell操作日志。

• 确定高特权帐户在哪里登录并公开凭据。

• 利用Windows Defender防火墙和您的网络防火墙来防止端点之间的RPC和SMB通信

不确定如何最好地保护其VPN和VPS基础结构的组织可以从美国国家标准技术研究院（NIST）和DHS网络安全与基础结构安全局（CISA）获得更多信息，这两家公司最近都发布了有关如何保护安全性的指南VPN / VPS基础结构。