【禍不單行】加拿大醫療機構懶理漏洞 兩個勒索集團同時搵上門
Microsoft 去年三月曾為旗下的 Microsoft Exchange Server 漏洞推出安全更新,理論上應有不少企業或機構已進行系統升級。不過,網絡安全服務供應商 Sophos 最近發表的一個入侵個案卻顯示,加拿大一間醫療機構由於仍未作出任何行動,放任漏洞存在,因而招徠勒索軟件集團攻擊,而且更有兩個集團找上門,在極短時間內先後加密受害者的數據及電腦設備,相當奇情。
在這次事件中,Sophos 方面未有公布受害醫療機構的身份,只知道位於加拿大。而先後入侵的兩個網絡犯罪集團就有開名,分別是 Karma 集團,及最近因支持俄羅斯攻擊烏克蘭而被起底的 Conti 勒索軟件集團。Sophos 研究員指出,兩個集團均利用 Microsoft Exchange Server 的已知 ProxyShell 漏洞入侵,三個漏洞的安全風險編號分別是 CVE-2021-34473、CVE-2021-34523 及 CVE-2021-31207,心水清的讀者相信會發現這三個漏洞均於 2021 年發現,而 Microsoft 方面亦快速於去年三月推出安全更新,不過到去年十一月,多間網絡安全公司均發現仍有很多用家未升級,存在被入侵的風險。
這次的受害機構便是其中一員,專家拆解入侵詳情時說,第一個成功入侵的集團為 Conti,對方於 11 月 25 日已利用漏洞進入公司伺服器,不過去到 12 月 1 日才執行第二階段入侵行動。相反另一集團 Karma 雖然在 11 月 30 日才入侵伺服器,但在 12 月 3 日已成功將 52 GB 數據外傳,並在系統內留下勒索信,要求對方交付贖金以換回被盜數據。而就在 Karma 留下勒索信後,Conti 亦完成資料搜集,隨即加密對方的電腦設備及檔案,因此連帶將 Karma 的勒索信鎖死,令這次事件變得更奇情。
Sophos 專家特別提到,受害機構其實也有安裝網絡監測工具及惡意軟件防護工具,但很明顯兩個犯罪集團在對方的內部網絡潛伏多日,各自搜刮及外傳大量數據下也沒有被發現,甚至更成功在網絡內安裝 Cobalt Strike 的 beacons 方便持續監測及隨時入侵,可見黑客一旦成功在內部網絡設下立足點後便可隱密行事,所以企業應該將焦點放在阻止入侵上,而盡快安裝系統更新便是其中一個最有效及可行的方法,放任漏洞存在,到出事才後悔已太遲。
相關文章:【漏洞快補】勒索軟件入侵Microsoft Exchange 微軟籲立即安裝緊急修補程式
https://www.wepro180.com/20210315_microsoft-exchange/