我们从LAPSUS$袭击中学到的一切

近几个月来，一个名为LAPSUS$的网络犯罪团伙声称对一系列针对科技公司的高调攻击负责，其中包括：

• T-Mobile（2022年4月23日）
• Globant公司
• 奥克塔
• 育碧软件
• 三星
• 英伟达
• 微软
• 沃达丰

除了这些攻击之外，LAPSUS$还成功地对巴西卫生部发起勒索软件攻击。

虽然备受瞩目的网络攻击肯定不是什么新鲜事，但有几件事让LAPSUS$与众不同。

• 这些袭击的主谋和其他几个同谋都是青少年。
• 与更传统的勒索团伙不同，LAPSUS$拥有非常强大的社交媒体影响力。
• 该团伙以数据外泄而闻名。它窃取了源代码和其他专有信息，并经常在互联网上泄露这些信息。

LAPSUS$被盗凭证

例如，在Nvidia的案例中，攻击者获得了数百GB的专有数据，包括该公司正在开发的芯片信息。也许更令人不安；然而，LAPSUS$声称偷走了数千名Nvidia员工的证件。由于不同的科技新闻网站报道了不同的数字，被盗凭证的确切数量有些不清楚。然而，Specops能够获得大约30000个密码，这些密码在这次入侵中被泄露。

网络勒索的兴起

从LAPSUS$攻击中，组织必须注意两大要点。首先，LAPSUS$攻击清楚地表明，网络犯罪团伙不再满足于执行普通勒索软件攻击。LAPSUS$似乎更专注于网络敲诈勒索，而不是像过去那样经常加密数据。LAPSUS$获得了一个组织最有价值的知识产权，并威胁要泄露这些信息，除非支付赎金。

可以想象，一家科技公司的源代码、产品路线图或研发数据被泄露，可能会遭受无法弥补的伤害，尤其是如果这些数据要提供给竞争对手。

尽管迄今为止，LAPSUS$攻击主要针对技术公司，但任何组织都可能成为此类攻击的受害者。因此，所有公司都必须仔细考虑如何才能使其最敏感的数据不受网络犯罪分子的控制。

密码薄弱

LAPSUS$攻击的另一个重要收获是，虽然没有关于攻击者如何访问受害者网络的确切信息，但Specops获得的泄漏Nvidia凭据列表清楚地显示，许多员工使用的密码非常弱。其中一些密码是常用词（welcome、password、Septer等），极易受到字典攻击。许多其他密码包括公司名称作为密码的一部分（nvidia3d、mynvidia3d等）。至少有一名员工甚至用Nvidia这个词作为密码！

虽然攻击者完全有可能使用了一种并非基于使用获取的凭据的初始渗透方法，但这些弱凭据更有可能在攻击中起到关键作用。

当然，这就提出了一个问题，即其他公司如何防止其员工使用类似的弱密码，从而使组织容易受到攻击。设置一个需要冗长复杂密码的密码策略是一个良好的开端，但公司还应该做更多的事情。

保护您自己的组织免受类似攻击

组织可以用来防止使用弱密码的一个关键措施是创建一个自定义的单词或短语词典，这些单词或短语不允许用作密码的一部分。请记住，在英伟达攻击中，员工经常使用Nvidia一词作为密码或密码的组成部分。可以使用自定义词典防止任何密码包含Nvidia一词。

组织防止使用弱密码的另一个更重要的方法是创建一个策略，防止用户使用已知已泄漏的任何密码。当密码泄漏时，该密码会被散列，散列通常会添加到密码散列数据库中。如果攻击者获得密码散列，他们只需将散列与散列数据库进行比较，即可快速显示密码，而无需执行耗时的暴力破解或基于字典的破解。

Specops密码策略为管理员提供了所需的工具，以确保用户避免使用弱密码或已知已被泄露的密码。Specops可以轻松创建符合常见密码标准（如NIST定义的标准）的密码策略。但是，除了设置长度和复杂性要求外，SPECOP还允许管理员创建不作为密码一部分使用的单词词典。此外，Specops维护着一个包含数十亿个泄露密码的数据库。可以根据此数据库自动检查用户的密码，从而防止用户使用已知已被泄露的密码。