El grupo de hackers LAPSUS$ obtuvo acceso a los sistemas internos de NVIDIA hace dos semanas. El grupo exigió un rescate a cambio de no publicar los datos robados.
Se informó que se robaron hasta 200 GB de archivos relacionados con el hardware y 1 TB de datos en general. Esto incluye archivos que hacen referencia a arquitecturas inéditas como RTX 40 «Ada» o futuros productos de centros de datos como Blackwell. Para empeorar las cosas, los piratas informáticos también publicaron el código fuente de uno de los mayores secretos de NVIDIA, la tecnología de mejora de IA DLSS .
Los investigadores de seguridad han descubierto que el malware utiliza ahora el certificado de firma que también se incluyó en este primer lote de archivos.
Now we see many malware samples signed with the leaked NVIDIA certs on @virustotal
– big batch of droppers from PH
– some from TR & Themida packed from NL & BR#NvidiaLeaksVT querieshttps://t.co/JxnbrLSjVz
Samples (Munin output), hashes and infoshttps://t.co/2SA8RjH4H5 pic.twitter.com/tq8gJElLr5
— Florian Roth ⚡️ (@cyb3rops) March 7, 2022
Lo que es importante tener en cuenta aquí es que ambos certificados de firma filtrados están vencidos, sin embargo, el sistema operativo Windows aún permite que los controladores firmados con esos certificados se carguen con el sistema, lo que representa un gran riesgo de seguridad.
En este punto, no existe una manera fácil de evitar que el software firmado con esos certificados se cargue con el sistema operativo, aparte de crear políticas de Windows Defender manualmente. Microsoft debería revocar esos certificados en el futuro, pero esto puede llevar tiempo y para algunos usuarios puede ser demasiado tarde.