最近幾個月，一個名為LAPSUS$的網(wǎng)絡(luò)犯罪團(tuán)伙可謂風(fēng)頭無兩，他們對包括T-Mobile、Microsoft、Globant、Nvidia、Samsung、Okta、Vodafone、Ubisoft在內(nèi)的一眾科技巨頭企業(yè)發(fā)動了一系列高調(diào)的攻擊。除了科技企業(yè)，LAPSUS$還曾成功發(fā)起過針對巴西衛(wèi)生部的勒索軟件攻擊。

通過研究，可以明顯地觀察到LAPSUS$同其他犯罪團(tuán)伙的與眾不同之處：

• 團(tuán)伙的主謀和其他幾名涉嫌同謀都是青少年。
• 不同于傳統(tǒng)勒索軟件團(tuán)伙，LAPSUS$擁有非常強(qiáng)大的社交媒體影響力。
• 它會竊取攻擊目標(biāo)源代碼和其他專有信息，并經(jīng)常在互聯(lián)網(wǎng)上泄露這些信息。

網(wǎng)絡(luò)勒索的興起

LAPSUS$團(tuán)伙曾對外公開表示，自己早已不再滿足于執(zhí)行普通的勒索軟件攻擊，因此LAPSUS$ 不再像過去經(jīng)常做的那樣僅僅對數(shù)據(jù)進(jìn)行加密，而是更專注于網(wǎng)絡(luò)勒索。在LAPSUS$獲得一個企業(yè)最有價值的知識產(chǎn)權(quán)后，它通常會以泄露該信息相威脅并要求支付贖金。

可以想象，如果那些源代碼、產(chǎn)品路線圖或研發(fā)數(shù)據(jù)遭到泄露，技術(shù)公司可能會遭受無法彌補(bǔ)的傷害，特別是如果這些數(shù)據(jù)被競爭對手獲得的話。

盡管迄今為止LAPSUS的攻擊目標(biāo)主要集中在科技企業(yè)，但任何企業(yè)和組織都可能成為這種攻擊的受害者。因此，仔細(xì)考慮如何才能讓自己最敏感的數(shù)據(jù)不落入網(wǎng)絡(luò)罪犯之手是所有企業(yè)和機(jī)構(gòu)都需要做的一件事。

弱密碼或成為突破口

在 Nvidia的案例中，攻擊者獲得了其數(shù)百GB的專有數(shù)據(jù)，包括關(guān)于該公司正在開發(fā)的芯片信息。更令人感到不安的是，LAPSUS$ 聲稱竊取了數(shù)千名Nvidia員工的憑據(jù)。尚不清楚被盜憑證的確切數(shù)量是多少，科技新聞網(wǎng)站報告的數(shù)字也各不相同，但有研究人士分析這一數(shù)字可能在30,000左右。

關(guān)于攻擊者如何進(jìn)入受害者網(wǎng)絡(luò)的確切信息還在進(jìn)一步研究，但研究人員可以從Nvidia泄露的憑據(jù)清單中清楚地看到，許多員工使用的密碼極其脆弱。其中一些密碼使用的是常用單詞(如welcome、password、September等)，非常容易受到字典攻擊。還有許多密碼中包括了公司名稱 (如nvidia3d、mynvidia3d等)。甚至有至少有一名員工直接使用Nvidia作為密碼。

雖然攻擊者完全有可能使用了一種不基于獲取的憑據(jù)的初始滲透方法，但這些弱憑據(jù)非常有可能在攻擊中成為關(guān)鍵突破口。

這就引出了一個問題：其他公司能做些什么來防止他們的員工使用類似的弱密碼，從而使組織容易受到攻擊。設(shè)定一套需要冗長復(fù)雜密碼的密碼政策將是一個良好的開端，但公司需要做的遠(yuǎn)不止于此。

企業(yè)機(jī)構(gòu)如何防范

創(chuàng)建一個自定義的單詞或短語字典是企業(yè)和機(jī)構(gòu)可以用預(yù)防使用弱密碼的一項關(guān)鍵措施，這些單詞或短語不允許作為密碼的一部分。就像在Nvidia的攻擊中，員工經(jīng)常使用Nvidia這個詞作為他們的密碼或作為他們密碼的一個組成部分。完全可以使用自定義字典來防止任何密碼中包含Nvidia這個詞。

防止使用弱密碼的另一種更重要的方法是創(chuàng)建策略，防止使用任何已知已泄露的密碼。當(dāng)密碼泄露時，該密碼將被散列，該散列通常被添加到密碼散列數(shù)據(jù)庫中。如果攻擊者獲得密碼哈希，他們可以簡單地將哈希與哈希數(shù)據(jù)庫進(jìn)行比較，快速揭示密碼，而無需執(zhí)行耗時的暴力破解或基于字典的破解。