【反面教材】解構勒索集團LAPSUS$入侵事件科技巨企網絡安全超脆弱
勒索集團 LAPSUS$ 在今年初開始,多次成功入侵科技巨企如 Nvidia、Microsoft、Samsung,並於網上公開受害企業的領先科技,雖然部分集團成員被捕,但在這一系列事件中,的確曝露出大企業在網絡安全上意想不到的脆弱性,到底有什麼反面教材可成為參考?
LAPSUS$ 雖然同樣以勒索受害企業謀利,但集團與其他勒索軟件有明顯分別,因為它專注於竊取科技企業的機密資料,並不熱衷於加密對方的電腦設備或數據,只會要求對方交付贖金,換取機密資料不被公開。由今年初開始,多間科技企業相繼被 LAPSUS$ 攻陷,當中包括 Microsoft 部分應用服務如搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana、Nvidia 的 LiteHash Rate (LHR)及 DLSS 技術、Samsung 的 Trusted Applet 原始碼、生物特徵解鎖演算法,其他受害者還包括 T-Mobile、Okta、Samsung、Vodafone 等。雖然 LAPSUS$ 有上述偏好,但集團實際上亦擁有啟動勒索軟件的能力,例如成員早前便成功攻擊巴西政府衞生局。
隨著 LAPSUS$ 部分成員被捕,集團的神秘面紗亦被揭開,綜合調查所得,這個集團的骨幹主要由青少年組成,而且非常懂得使用社交平台宣傳,同時只要受害者拒絕交付贖金,他們亦會毫不吝嗇地將部分機密資料公開,建立了一個非常鮮明的形象,受害者如不想資料外洩,便只能立即俾錢了事。
此外,從這次事件中亦可以了解到即使強如 Nvidia,其網絡安全卻完全不到位。專門提供密碼管理及驗證技術的 Specops 專家,從外洩的資料中取得三萬個 Nvidia 員工使用的密碼,當中不少人使用 nvidia 作為密碼的組成部分,甚至有一個員工直接以 nvidia 作為密碼,難怪 LAPSUS$ 能夠如此輕鬆入侵員工帳戶,進而取得公司機密資料。專家建議企業必須制定嚴格的密碼使用政策,除了要求員工使用強密碼,更應製作一份過濾字典,如發現員工使用容易被破解的字詞作為密碼,便必須要求員工即時更改,當然最理想是引入多重因素身份驗證 (MFA) 功能,即使密碼被破解,黑客亦不容易成功登入帳戶。
相關文章:【連環爆料事件】Microsoft確認被Lapsus$盜取部分應用服務source code
https://www.wepro180.com/lapsus220324/