微软警告说，仅仅因为勒索软件攻击者没有威胁要泄露公司的数据，这并不意味着他们没有盗窃它。  

而且，在全球冠状病毒大流行期间，人为操纵的勒索软件帮派（通常与数百万美元的赎金要求相关）并未停止活动。

实际上，他们在4月的前两周内在目标网络上启动了更多的文件加密恶意软件，这导致援助组织，医疗计费公司，制造，运输，政府机构和教育软件提供商陷入混乱。微软。 

微软表示，在四月的前两周，勒索软件攻击的数量“略有上升”，通常来自几个月前就已经可以访问网络的勒索软件组织。 

微软威胁防护情报团队说：“攻击者从今年初开始就已经对目标网络造成了危害，并一直在等待他们通过利用勒索软件获利最大的机会来利用攻击获利。” 

微软表示，这些攻击表明这些组织确实不在乎它们在全球危机期间是否影响关键服务。  

该观察结果与勒索软件团伙发誓在COVID-19冠状病毒大流行期间不袭击医院的报道背道而驰。4月初的攻击还与微软直接向医院发出有史以来第一次警告以修补易受攻击的VPN设备有关，因为它看到了勒索软件帮派。 

微软说：“许多攻击始于对脆弱的面向互联网的网络设备的利用；其他攻击则利用暴力手段破坏了RDP服务器。” 

“在这些特定的活动中，操作员可以访问特权较高的管理员凭据，并准备在受到干扰时采取可能更具破坏性的行动。” 

微软表示，妥协和勒索软件部署之间存在长时间的滞后，这意味着防御者应在部署之前寻找签名活动，包括使用Mimikatz和Cobalt Strike等工具进行凭证盗窃和横向移动活动。 

近期活动中针对的主要面向Internet的系统包括不带多因素身份验证的RDP和虚拟桌面终结点；不支持的平台，例如Windows Server 2003和2008；错误配置的Web服务器，包括IIS，电子健康记录（EHR）软件，备份服务器或系统管理服务器；易受攻击的Citrix（Netscaler）ADC系统；和脆弱的脉冲安全的VPN。    

鉴于攻击者不断在互联网上扫描这些未修补的系统，因此尚未修补这些系统中的漏洞的管理员会提出麻烦。

微软还指出了勒索软件关键群体之间的担忧趋势。在过去的几个月中，多个勒索软件帮派开始在加密数据之前先窃取数据，然后威胁说如果不支付赎金就将其在线泄漏。 

外媒已发布了使用此策略的主要帮派列表，其中包括迷宫，Doppelpaymer和Revil（Sodinokibi）。   

微软表示，这些攻击者在部署勒索软件后通常会保持对某些端点的控制，目的是在支付勒索钱后发起未来的攻击。尽管有些团体因出售受害者的数据而享有盛誉，但即使是没有广告的帮派也走这条路，仍然可以查看并窃取数据。

顺便说一下，我从勒索软件事件中得出了两点信息：

-公司支付了赎金，攻击者仍然可以访问网络。

-几乎每个事件都有攻击者查看和窃取数据的证据。

这整个领域将是一个值得关注的领域。pic.twitter.com/hm3iLw31oa

-凯文·博蒙特（@GossiTheDog）2020年4月28日

微软四月份部署的顶级勒索软件有效负载列表包括RobbinHood，Maze，PonyFinal，Valet loader和REvil。其他包括Paradise，RagnarLocker，MedusaLocker和LockBit。 

微软建议防御者在网络中搜寻恶意的PowerShell，Cobalt Strike和其他渗透测试工具，这些工具看起来像是红队活动。他们还应该寻找对本地安全机构子系统服务（LSASS）的可疑访问和可疑的注册表修改，以及篡改安全事件日志的证据。 

防御者应检查的关键系统和漏洞包括： 

没有MFA的RDP或虚拟桌面终端

受CVE-2019-19781影响的Citrix ADC系统

受CVE-2019-11510影响的Pulse Secure VPN系统

受CVE-2019-0604影响的Microsoft SharePoint服务器

受CVE-2020-0688影响的Microsoft Exchange服务器

受CVE-2020-10189影响的Zoho ManageEngine系统