企业因MFA恢复码明文存储被Akira勒索攻击

感谢技术社区成员Coje_He提供的案例详情。

9月21日，网络安全公司Huntress发布了一份典型案例报告。报告披露一家企业因安全防护漏洞遭到Akira勒索软件攻击，该事件为各行业机构提供了深刻的警示。

Huntress安全团队指出，该企业存在严重的安全管理漏洞：一名工程师将MFA账户恢复密钥直接以纯文本格式保存在电脑桌面的记事本文件中。攻击者正是利用这个致命的失误，首先通过SonicWall防火墙的登录界面渗透进入内部系统，继而直接使用明文存储的恢复代码成功规避了多因素验证的安全防线。

成功入侵后，攻击者使用窃取的账号凭证登录到Huntress的安全监控平台，先后执行了以下危险操作：

• 关闭正在报警的安全事件通知
• 解除了对已感染设备的网络隔离
• 尝试卸载安装在终端设备上的安全防护软件

值得注意的是，这些操作通常需要高级别的系统权限才能执行。企业进行内部核查后确认，这些行为并非来自合法的IT管理员操作，从而发现系统已被入侵者完全控制。

通过禁用警报系统，攻击者得以在受害者网络中隐藏达三周之久。在此期间，他们不仅窃取了大量企业账户信息，还假冒具有管理权限的内部员工身份，持续维持系统访问权限，最终完成了勒索软件在内网的全面扩散。

这起安全事件再次印证了一个关键的安全准则：必须严格保护多因素认证恢复密钥等敏感凭证。专业安全建议如下：

• 推荐使用支持强加密的商业密码管理工具存储关键凭证
• 应当关闭浏览器和操作系统的密码自动保存功能
• 当无法采用数字密码管理方案时，可选用全盘加密的移动存储设备存放敏感信息

此外，IT安全团队还需注意：

• 定期更换MFA备用认证码
• 加强日志审计监测工作
• 特别关注可疑登录行为，即便是来自内网可信设备的访问请求也应严格审查