Microsoft telah mulai mengirim pemberitahuan ke banyak rumah sakit tentang VPN dan portal yang rentan serangan ransomware di jaringannya.
Sebagai bagian dari pelacakan berbagai kelompok di balik serangan ransomware yang dijalankan manusia, Microsoft telah melihat proses yang dikenal sebagai REvil (Sodinokibi) yang menargetkan kerentanan perangkat VPN dan perangkat gateway untuk menembus jaringan.
Perangkat Pulse VPN telah diketahui ditargetkan oleh ancaman, karena kerentanan ini diyakini berada di balik serangan Travelv Ransomware REvil. Penyerang lain seperti DoppelPaymer dan Ragnarok Ransomware juga telah terlihat di masa lalu menggunakan Citrix ADC (NetScaler) kerentanan CVE-2019-1978 untuk menembus jaringan.
Setelah ransomware telah menembus jaringan dengan kerentanan ini, mereka akan menyebar ke samping di seluruh jaringan sambil memperoleh kredensial administratif. Pada akhirnya, mereka menerbitkan serangan mereka untuk mengenkripsi semua data di jaringan.
Dengan organisasi kesehatan seperti rumah sakit kewalahan selama pandemi virus Coronava, Microsoft ingin membantu organisasi-organisasi ini tetap berada di garis depan mereka yang peduli dengan risiko dengan mengirimkan pemberitahuan yang ditargetkan tentang perangkat rentan di jaringan mereka.
“Melalui jaringan luas sumber informasi ancaman Microsoft, kami telah mengidentifikasi belasan rumah sakit yang rentan dan perangkat VPN dalam infrastruktur mereka. Untuk membantu rumah sakit ini, banyak di antaranya yang sudah dibanjiri pasien, kami mengirimkan pemberitahuan bertarget pertama dari jenisnya yang hari ini dinyatakan Microsoft dalam posting blog baru yang berisi informasi penting Tentang kerentanan, bagaimana penyerang dapat memanfaatkannya, dan rekomendasi kuat untuk menerapkan pembaruan keamanan yang akan melindungi mereka dari mengeksploitasi kerentanan khusus ini dan hal-hal serupa lainnya.
Dengan mengirimkan lansiran yang ditargetkan ini ke rumah sakit, organisasi perawatan kesehatan dapat secara proaktif menginstal pembaruan keamanan pada perangkat yang dihadapi publik untuk mencegah pelaku ancaman memanfaatkannya.
Untuk melindungi dari operasi ransomware seperti REvil, tim peneliti Microsoft Defender Advanced Threat Protection (ATP) merekomendasikan untuk menerapkan langkah-langkah mitigasi berikut terhadap serangan yang dikelola manusia:
Aset Padat Menghadapi Internet:
- Terapkan pembaruan keamanan terbaru
- Gunakan manajemen ancaman dan kerentanan
- Melakukan tinjauan rutin untuk menghapus kredensial premium
Selidiki dan proses peringatan dengan cermat:
- Memprioritaskan perbaikan sektor yang terkena infeksi malware malware dan memperlakukannya sebagai kompromi penuh yang potensial
Hadirkan IT Profesional dalam diskusi keamanan:
- Pastikan kolaborasi antara SecOps, SecAdmins, dan administrator IT untuk mengkonfigurasi server dan titik akhir lainnya dengan aman
Membangun kebersihan pribadi :
- Gunakan MFA atau NLA, dan gunakan kata sandi administrator lokal yang kuat dan acak secara tepat waktu
Terapkan prinsip hak istimewa yang paling rendah
Selalu Monitor :
- Cari upaya brute force
- Monitor untuk membersihkan log peristiwa
- Analisis peristiwa masuk
Infrastruktur yang solid:
- Gunakan Windows Defender Firewall
- Aktifkan perlindungan tamper
- Aktifkan perlindungan cloud
- Jalankan Reduksi permukaan serangan dan aturan AMSI untuk Office VBA