近几个月,一个名为LAPSUS$的网络犯罪团伙一直备受关注,包括T-Mobile、微软、Globant、Nvidia、三星、Okta、沃达丰、育碧等一众科技巨头,包括中国在内,都高调发起了一系列攻击。除了科技公司,LAPSUS$还成功发起了针对巴西卫生部的勒索软件攻击。经查证,LAPSUS$与其他犯罪团伙明显不同:头目和其他几名涉嫌共犯均为青少年。与传统的勒索软件团伙不同,LAPSUS$拥有非常强大的社交媒体影响力。它从其目标窃取源代码和其他专有信息,并经常将其泄露到Internet上。网络勒索的兴起LAPSUS$团伙已公开表示不再满足于进行普通的勒索软件攻击,因此LAPSUS$不再像过去那样仅仅对数据进行加密,而是更加专注于网络勒索。在LAPSUS$获得企业最有价值的知识产权后,它通常会威胁泄露该信息并索要赎金。可以想象,如果这些源代码、产品路线图或研发数据泄露,特别是如果这些数据被竞争对手获取,科技公司将遭受无法弥补的损失。尽管LAPSUS攻击目前主要针对科技公司,但任何企业和组织都可能成为此类攻击的受害者。这就是为什么所有企业和组织都需要仔细考虑如何让最敏感的数据不落入网络罪犯之手。弱密码可能成为漏洞在Nvidia的案例中,攻击者获得了数百GB的专有数据,包括有关该公司正在开发的芯片的信息。更令人不安的是,LAPSUS$声称窃取了数千名Nvidia员工的凭证。被盗凭据的确切数量尚不清楚,科技新闻网站报道的数字各不相同,但研究人员估计这个数字在30,000左右。攻击者究竟如何进入受害者的网络仍在调查中,但研究人员可以从Nvidia泄露的凭据列表中清楚地看到,许多员工使用了极其弱的密码。其中一些密码使用常用词(如欢迎、密码、九月等),非常容易受到字典攻击。也有很多密码包含公司名称(如nvidia3d、mynvidia3d等)。甚至还有至少一名员工直接使用Nvidia作为密码。虽然攻击者完全有可能使用了一种不基于收集到的凭据的初始渗透方法,但这些薄弱的凭据很可能成为攻击中的关键开口。这就引出了一个问题,即其他公司可以采取什么措施来防止其员工使用类似的弱密码,从而使组织容易受到攻击。设置需要冗长而复杂的密码的密码策略将是一个好的开始,但公司需要做的远不止于此。组织如何防止创建一个自定义的单词或短语词典,组织可以使用该词典来防止使用不允许作为密码一部分的弱密码,这是组织可以采取的一项关键措施。与Nvidia攻击一样,员工经常使用Nvidia这个词作为他们的密码或密码的组成部分。完全可以使用自定义词典来防止任何密码包含Nvidia一词。另一种更重要的防止使用弱密码的方法是创建策略以防止使用任何已知的泄露密码。当密码被泄露时,该密码会被散列,散列通常被添加到密码散列数据库中。如果攻击者获得密码哈希,他们只需将哈希与哈希数据库进行比较,即可快速破解密码,而无需执行耗时的暴力破解或基于字典的破解。
