Trong những tháng gần đây, một băng nhóm tội phạm mạng có tên LAPSUS $ đã lên tiếng nhận trách nhiệm về một số vụ tấn công nổi tiếng chống lại các công ty công nghệ, bao gồm:
T-Mobile (23 tháng 4 năm 2022) Globant Okta Ubisoft Samsung Nvidia Microsoft Vodafone
Ngoài các cuộc tấn công này, LAPSUS $ cũng có thể thực hiện thành công một cuộc tấn công ransomware chống lại Bộ Y tế Brazil.
Mặc dù các cuộc tấn công mạng có cấu hình cao chắc chắn không có gì mới, nhưng có một số điều khiến LAPSUS $ trở nên độc đáo.
Kẻ bị cáo buộc chủ mưu của các vụ tấn công này và một số đồng phạm khác bị cáo buộc đều là thanh thiếu niên. Không giống như các băng đảng ransomware truyền thống khác, LAPSUS $ có sự hiện diện trên mạng xã hội rất mạnh mẽ. Băng nhóm này được biết đến nhiều nhất với việc đánh cắp dữ liệu. Nó đã đánh cắp mã nguồn và các thông tin độc quyền khác và thường làm rò rỉ thông tin này trên Internet.
LAPSUS $ thông tin đăng nhập bị đánh cắp
Ví dụ trong trường hợp của Nvidia, những kẻ tấn công đã có được quyền truy cập vào hàng trăm gigabyte dữ liệu độc quyền, bao gồm cả thông tin về chip mà công ty đang phát triển. Có lẽ đáng lo ngại hơn; tuy nhiên, LAPSUS $ tuyên bố đã đánh cắp thông tin đăng nhập của hàng nghìn nhân viên Nvidia. Số lượng chính xác thông tin đăng nhập bị đánh cắp có phần không rõ ràng, với nhiều trang tin tức công nghệ khác nhau đưa tin những con số khác nhau. Tuy nhiên, Specops đã có thể lấy được khoảng 30.000 mật khẩu đã bị xâm phạm trong vụ vi phạm.
Sự gia tăng của tống tiền mạng
Có hai điểm rút ra chính từ các cuộc tấn công LAPSUS $ mà các tổ chức phải lưu ý. Đầu tiên, các cuộc tấn công LAPSUS $ minh họa rõ ràng rằng các băng nhóm tội phạm mạng không còn đủ khả năng để thực hiện các cuộc tấn công bằng ransomware. Thay vì chỉ mã hóa dữ liệu như thường được thực hiện trong quá khứ, LAPSUS $ dường như tập trung hơn nhiều vào mã độc tống tiền mạng. LAPSUS $ có được quyền truy cập vào tài sản trí tuệ có giá trị nhất của tổ chức và đe dọa làm rò rỉ thông tin đó trừ khi được trả tiền chuộc.
Một công ty công nghệ có thể bị tổn hại không thể khắc phục được bằng cách để mã nguồn, lộ trình sản phẩm hoặc dữ liệu nghiên cứu và phát triển bị rò rỉ, đặc biệt nếu dữ liệu đó được cung cấp cho các đối thủ cạnh tranh.
Mặc dù các cuộc tấn công LAPSUS $ cho đến nay chủ yếu tập trung vào các công ty công nghệ, nhưng bất kỳ tổ chức nào cũng có thể trở thành nạn nhân của một cuộc tấn công như vậy. Do đó, tất cả các công ty phải xem xét cẩn thận những gì họ có thể làm để giữ cho dữ liệu nhạy cảm nhất của họ khỏi bàn tay của tội phạm mạng.
Mật khẩu yếu khi chơi
Một điểm quan trọng khác rút ra từ các cuộc tấn công LAPSUS $ là mặc dù không có thông tin chính xác về cách những kẻ tấn công truy cập vào mạng nạn nhân của họ, nhưng danh sách thông tin đăng nhập Nvidia bị rò rỉ mà Specops có được cho thấy rõ ràng rằng nhiều nhân viên đang sử dụng mật khẩu cực kỳ yếu. Một số mật khẩu này là những từ phổ biến (chào mừng, mật khẩu, tháng 9, v.v.), rất dễ bị tấn công từ điển. Nhiều mật khẩu khác bao gồm tên công ty như một phần của mật khẩu (nvidia3d, mynvidia3d, v.v.). Ít nhất một nhân viên thậm chí còn sử dụng từ Nvidia làm mật khẩu của họ!
Mặc dù hoàn toàn có khả năng những kẻ tấn công đã sử dụng phương thức thâm nhập ban đầu không dựa trên việc sử dụng thông tin đăng nhập đã thu thập được, nhưng nhiều khả năng những thông tin đăng nhập yếu này đóng vai trò quan trọng trong cuộc tấn công.
Tất nhiên, điều này đặt ra câu hỏi về việc các công ty khác có thể làm gì để ngăn chặn nhân viên của họ sử dụng các mật khẩu yếu tương tự, khiến tổ chức dễ bị tấn công. Việc thiết lập một chính sách mật khẩu yêu cầu những mật khẩu dài và phức tạp là một khởi đầu tốt, nhưng còn nhiều việc hơn thế mà các công ty nên làm.
Bảo vệ tổ chức của bạn khỏi một cuộc tấn công tương tự
Một biện pháp chính mà các tổ chức có thể sử dụng để ngăn chặn việc sử dụng mật khẩu yếu là tạo một từ điển tùy chỉnh gồm các từ hoặc cụm từ không được phép sử dụng như một phần của mật khẩu. Hãy nhớ rằng trong cuộc tấn công Nvidia, các nhân viên thường sử dụng từ Nvidia làm mật khẩu của họ hoặc như một thành phần của mật khẩu của họ. Một từ điển tùy chỉnh có thể đã được sử dụng để ngăn bất kỳ mật khẩu nào chứa từ Nvidia.
Một cách khác, thậm chí còn quan trọng hơn mà một tổ chức có thể ngăn chặn việc sử dụng mật khẩu yếu là tạo chính sách ngăn người dùng sử dụng bất kỳ mật khẩu nào được biết là đã bị rò rỉ. Khi một mật khẩu bị rò rỉ, mật khẩu đó sẽ được băm và mã băm thường được thêm vào cơ sở dữ liệu của các hàm băm mật khẩu. Nếu kẻ tấn công có được mã băm mật khẩu, chúng có thể đơn giản so sánh mã băm với cơ sở dữ liệu băm, nhanh chóng tiết lộ mật khẩu mà không cần phải thực hiện phá mã dựa trên từ điển hoặc brute force tốn thời gian.
Specops Password Policy cung cấp cho quản trị viên các công cụ mà họ cần để đảm bảo rằng người dùng tránh sử dụng mật khẩu yếu hoặc mật khẩu được biết là đã bị xâm phạm. Specops giúp bạn dễ dàng tạo chính sách mật khẩu tuân thủ các tiêu chuẩn mật khẩu chung, chẳng hạn như các tiêu chuẩn do NIST xác định. Tuy nhiên, ngoài việc thiết lập các yêu cầu về độ dài và độ phức tạp, Specops cho phép quản trị viên tạo từ điển các từ không được sử dụng như một phần của mật khẩu. Ngoài ra, Specops duy trì một cơ sở dữ liệu gồm hàng tỷ mật khẩu bị rò rỉ. Mật khẩu của người dùng có thể được tự động kiểm tra dựa trên cơ sở dữ liệu này, do đó ngăn người dùng sử dụng mật khẩu được biết là đã bị xâm phạm.
.
