最近幾個月，一個名為LAPSUS$的網絡犯罪團伙可謂風頭無兩，他們對包括T-Mobile、Microsoft、Globant、Nvidia、Samsung、Okta、Vodafone、Ubisoft在內的一眾科技巨頭企業發動了一系列高調的攻擊。除了科技企業，LAPSUS$還曾成功發起過針對巴西衛生部的勒索軟件攻擊。

通過研究，可以明顯地觀察到LAPSUS$同其他犯罪團伙的與眾不同之處：

• 團伙的主謀和其他幾名涉嫌同謀都是青少年。
• 不同于傳統勒索軟件團伙，LAPSUS$擁有非常強大的社交媒體影響力。
• 它會竊取攻擊目標源代碼和其他專有信息，并經常在互聯網上泄露這些信息。

網絡勒索的興起

LAPSUS$團伙曾對外公開表示，自己早已不再滿足于執行普通的勒索軟件攻擊，因此LAPSUS$ 不再像過去經常做的那樣僅僅對數據進行加密，而是更專注于網絡勒索。在LAPSUS$獲得一個企業最有價值的知識產權后，它通常會以泄露該信息相威脅并要求支付贖金。

可以想象，如果那些源代碼、產品路線圖或研發數據遭到泄露，技術公司可能會遭受無法彌補的傷害，特別是如果這些數據被競爭對手獲得的話。

盡管迄今為止LAPSUS的攻擊目標主要集中在科技企業，但任何企業和組織都可能成為這種攻擊的受害者。因此，仔細考慮如何才能讓自己最敏感的數據不落入網絡罪犯之手是所有企業和機構都需要做的一件事。

弱密碼或成為突破口

在 Nvidia的案例中，攻擊者獲得了其數百GB的專有數據，包括關于該公司正在開發的芯片信息。更令人感到不安的是，LAPSUS$ 聲稱竊取了數千名Nvidia員工的憑據。尚不清楚被盜憑證的確切數量是多少，科技新聞網站報告的數字也各不相同，但有研究人士分析這一數字可能在30,000左右。

關于攻擊者如何進入受害者網絡的確切信息還在進一步研究，但研究人員可以從Nvidia泄露的憑據清單中清楚地看到，許多員工使用的密碼極其脆弱。其中一些密碼使用的是常用單詞(如welcome、password、September等)，非常容易受到字典攻擊。還有許多密碼中包括了公司名稱 (如nvidia3d、mynvidia3d等)。甚至有至少有一名員工直接使用Nvidia作為密碼。

雖然攻擊者完全有可能使用了一種不基于獲取的憑據的初始滲透方法，但這些弱憑據非常有可能在攻擊中成為關鍵突破口。

這就引出了一個問題：其他公司能做些什么來防止他們的員工使用類似的弱密碼，從而使組織容易受到攻擊。設定一套需要冗長復雜密碼的密碼政策將是一個良好的開端，但公司需要做的遠不止于此。

企業機構如何防范

創建一個自定義的單詞或短語字典是企業和機構可以用預防使用弱密碼的一項關鍵措施，這些單詞或短語不允許作為密碼的一部分。就像在Nvidia的攻擊中，員工經常使用Nvidia這個詞作為他們的密碼或作為他們密碼的一個組成部分。完全可以使用自定義字典來防止任何密碼中包含Nvidia這個詞。

防止使用弱密碼的另一種更重要的方法是創建策略，防止使用任何已知已泄露的密碼。當密碼泄露時，該密碼將被散列，該散列通常被添加到密碼散列數據庫中。如果攻擊者獲得密碼哈希，他們可以簡單地將哈希與哈希數據庫進行比較，快速揭示密碼，而無需執行耗時的暴力破解或基于字典的破解。