社区编辑申请
注册/登录
浅谈LAPSUS$防范那些事儿
安全
LAPSUS$团伙曾对外公开表示,自己早已不再满足于执行普通的勒索软件攻击,因此LAPSUS$ 不再像过去经常做的那样仅仅对数据进行加密,而是更专注于网络勒索。

最近几个月,一个名为LAPSUS$的网络犯罪团伙可谓风头无两,他们对包括T-Mobile、Microsoft、Globant、Nvidia、Samsung、Okta、Vodafone、Ubisoft在内的一众科技巨头企业发动了一系列高调的攻击。除了科技企业,LAPSUS$还曾成功发起过针对巴西卫生部的勒索软件攻击。

通过研究,可以明显地观察到LAPSUS$同其他犯罪团伙的与众不同之处:

  • 团伙的主谋和其他几名涉嫌同谋都是青少年。
  • 不同于传统勒索软件团伙,LAPSUS$拥有非常强大的社交媒体影响力。
  • 它会窃取攻击目标源代码和其他专有信息,并经常在互联网上泄露这些信息。

网络勒索的兴起

LAPSUS$团伙曾对外公开表示,自己早已不再满足于执行普通的勒索软件攻击,因此LAPSUS$ 不再像过去经常做的那样仅仅对数据进行加密,而是更专注于网络勒索。在LAPSUS$获得一个企业最有价值的知识产权后,它通常会以泄露该信息相威胁并要求支付赎金。

可以想象,如果那些源代码、产品路线图或研发数据遭到泄露,技术公司可能会遭受无法弥补的伤害,特别是如果这些数据被竞争对手获得的话。

尽管迄今为止LAPSUS的攻击目标主要集中在科技企业,但任何企业和组织都可能成为这种攻击的受害者。因此,仔细考虑如何才能让自己最敏感的数据不落入网络罪犯之手是所有企业和机构都需要做的一件事。

弱密码或成为突破口

在 Nvidia的案例中,攻击者获得了其数百GB的专有数据,包括关于该公司正在开发的芯片信息。更令人感到不安的是,LAPSUS$ 声称窃取了数千名Nvidia员工的凭据。尚不清楚被盗凭证的确切数量是多少,科技新闻网站报告的数字也各不相同,但有研究人士分析这一数字可能在30,000左右。

关于攻击者如何进入受害者网络的确切信息还在进一步研究,但研究人员可以从Nvidia泄露的凭据清单中清楚地看到,许多员工使用的密码极其脆弱。其中一些密码使用的是常用单词(如welcome、password、September等),非常容易受到字典攻击。还有许多密码中包括了公司名称 (如nvidia3d、mynvidia3d等)。甚至有至少有一名员工直接使用Nvidia作为密码。

虽然攻击者完全有可能使用了一种不基于获取的凭据的初始渗透方法,但这些弱凭据非常有可能在攻击中成为关键突破口。

这就引出了一个问题:其他公司能做些什么来防止他们的员工使用类似的弱密码,从而使组织容易受到攻击。设定一套需要冗长复杂密码的密码政策将是一个良好的开端,但公司需要做的远不止于此。

企业机构如何防范

创建一个自定义的单词或短语字典是企业和机构可以用预防使用弱密码的一项关键措施,这些单词或短语不允许作为密码的一部分。就像在Nvidia的攻击中,员工经常使用Nvidia这个词作为他们的密码或作为他们密码的一个组成部分。完全可以使用自定义字典来防止任何密码中包含Nvidia这个词。

防止使用弱密码的另一种更重要的方法是创建策略,防止使用任何已知已泄露的密码。当密码泄露时,该密码将被散列,该散列通常被添加到密码散列数据库中。如果攻击者获得密码哈希,他们可以简单地将哈希与哈希数据库进行比较,快速揭示密码,而无需执行耗时的暴力破解或基于字典的破解。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-05-16 10:41:40

GNOME 42Console控制台

2022-03-22 15:04:20

中间件分布式软件鸿蒙

2022-05-17 14:17:50

物理安全网络攻击网络安全

2022-05-16 10:29:17

开源社区透明度开发者

2022-04-12 08:22:54

Linux内核操作系统

2022-05-09 15:43:34

JavaScriptRust开发

2022-04-11 14:53:49

网络安全数字经济数字化

2022-04-28 09:36:51

微服务性能云原生

2022-05-12 23:38:19

SQL数据库字符串

2022-04-23 16:30:22

Linux磁盘性能

2022-02-17 11:29:17

数据治理项目数据使用

2022-04-19 07:47:13

数据中心末端资源分配

2022-05-05 11:13:59

技术管理

2022-04-25 11:27:34

LinuxCPU

2022-04-26 08:10:33

MySQL存储InnoDB

2022-03-18 21:27:36

Python无代码

2022-03-31 08:21:14

数据库缓存双写数据一致性

2022-04-08 16:57:08

戴尔

2022-03-21 09:17:42

项目管理IT业务

2022-03-22 10:08:52

勒索软件云安全网络攻击

同话题下的热门内容

网传搜狐遭遇史诗级邮件诈骗,张朝阳回应来了网络安全攻防演练中不能忽视的API风险恶意技术时代下的负责任技术云原生时代来临,云安全技术将何去何从?38万个Kubernetes API服务器暴露在公网把手机变“肉鸡”—移动应用攻击的新特点与防护支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金新型勒索软件Cheers正攻击VMware ESXi 服务器

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号