9月21日,Huntress安全团队披露了一则颇具警示意义的网络安全事件。其某客户由于存在的安全疏忽,不幸沦为Akira勒索软件团伙的手中之物,这一事件为企业信息安全敲响了警钟。
报告显示,受害公司的一名工程师存在严重的安全配置失误——竟将账户的多因素认证(MFA)恢复代码以未加密的明文形式,直接存放在电脑桌面的文本文件中。这就让入侵者在攻破SonicWall防火墙后,轻而易举地利用这些恢复代码绕过了MFA防护,完成了对主机的渗透。

据悉,攻击者获取权限后立即展开了系列恶意操作:擅自关闭Huntress平台上的安全事件告警、解除主机隔离状态,甚至尝试卸载安全防护代理。所幸Huntress团队在例行检查中发现工程师账户的异常操作,经核实确认这些行为并非本人所为,这才揭露了黑客活动。
黑客通过关闭告警系统得以长期潜伏在企业网络中,期间不仅窃取了高权限账户凭据用于维持访问权限,最终还部署了Akira勒索软件。这起事件凸显了明文存储敏感信息的安全隐患。
安全专家特别提醒:MFA恢复代码等重要凭证切忌以明文形式存储。最佳实践是借助高强度的加密密码管理工具进行保管,并关闭自动填充功能;若条件不允许,至少应使用加密存储设备,并对文件单独设置访问密码。
此外,建议企业定期更换恢复代码,并对认证日志中的异常登录行为保持警惕——即便是那些看似源自内部网络的访问请求,也需要格外留意。
