El grupo de hackers LAPSUS$ roba credenciales de firmas de código de Nvidia para descargar 'malware'
Un grupo de hackers informáticos que se hace llamar LAPSUS$ ha robado certificados de firma electrónica de los desarrolladores de Nvidia para obtener acceso a los equipos informáticos y descargar 'software' malicioso.
Un certificado de firma de código es un certificado digital que identifica a un desarrollador de la compañía, quien lo utiliza para firmar archivos ejecutables y controladores antes de distribuirlos en abierto, al público.
Con este documento, los usuarios pueden verificar el origen, la propiedad y la autenticidad del archivo original. Así, pueden descargarlo con seguridad en su sistema operativo, sabiendo que no ha sido manipulado por ningún agente externo.
Microsoft requiere que los controladores que se encuentren en Kernel -que es el núcleo del sistema operativo- estén firmados con código y, de lo contrario, el sistema operativo no permite a abrir el archivo.
De este modo, este grupo de piratas informáticos ha robado estos certificados de firma de código para introducir 'malware' haciéndolo pasar por archivos seguros y permitir que se descarguen controladores maliciosos en Windows, según ha explicado PC Gamer.
El origen de este robo de certificados de código tuvo lugar hace unos días, cuando Nvidia fue víctima de un ataque de 'ransomware', confirmado por la propia empresa. Este grupo accedió a sus servidores durante una semana, consiguió permisos del administrador y extrajo, al menos, 1 TB de datos.
Tras ese robo, LAPSUS$ amenazó a la compañía con compartir sus datos de 'software' y 'firmware' si Nvidia no eliminaba el limitador de rendimiento de minería en sus GPU de la serie RTX 30.
Debido a que Nvidia no cedió a esas amenazas, los atacantes provocaron la filtración de certificados de firma de código, 71.000 credenciales de empleados, el código fuente DLSS de la compañía y algunos nombres de GPU GeForce de próxima generación.
Ahora, estos certificados se están utilizando para desarrollar una nueva generación de 'software' malicioso que puede parecer seguro para los ordenadores con Windows, de acuerdo con lo publicado por el portal Tech Power Up.
En realidad, algunos de los certificados de firma de código que han filtrado expiraron en 2014 y 2018. Sin embargo, en los PC con este sistema operativo aún figuran como válidos para firmar controladores y archivos de descarga.
Entre algunos de los archivos 'malware' que ha detectado el proveedor de antivirus VirusTotal es una variante del troyano de acceso remoto (RAT, por sus siglas en inglés), Quasar, que aparece firmado con certificados de Nvidia.
Este trabaja en un segundo plano mediante acceso remoto al ordenador por parte del grupo atacante, que puede manipular el sistema y robar datos cifrados para ofrecerlos a cambio de un rescate.
Otros de los certificados robados que se han utilizado para firmar 'malware' han sido Cobalt Strike, una herramienta para realizar intrusiones dentro del sistema, y la aplicación de código abierto Mimikatz, según han informado desde Bleeping Computer.
Por su parte, los ciberanalistas Kevin Beaumont y Will Dormann han conseguido recuperar dos números de serie que han robado los ciberdelincuentes, que son 43BB437D609866286DD839E1D00309F5 y 14781bc862e8dc503a559346f5dcc518.
Ambos códigos son firmas de Nvidia caducadas con las que los atacantes pueden sortear la seguridad de los equipos porque Windows aún los reconoce como válidos.
Para evitar que este 'malware' se integre en Windows, el vicepresidente y director de Seguridad empresarial y del sistema operativo de Microsoft, David Weston, ha aconsejado a los administradores revisar la configuración de Windows Defender Application Control.
"Debe crear una política con el Asistente y luego agregue una regla de denegación [para estos códigos] o permitir versiones específicas de Nvidia si fuera necesario", ha mencionado a través de Twitter.
Cabe recordar que este mismo grupo de ciberdelincuentes aseguró este fin de semana haber robado información interna de Samsung. En concreto, 190 GB de datos, que compartió a través de un canal de Telegram.
Según estos ciberdelincuentes, esta extorsión incluye información sobre los sistemas biométricos de autenticación o capacidades para evadir los sistemas de seguridad de los teléfonos de la compañía coreana.
Por su parte, Samsung ha confirmado un acceso no autorizado a sus sistemas por el que ha quedado expuesta información interna de la compañía, incluido el código fuente de los terminales Galaxy. Asimismo, ha asegurado que ya está reforzando las protecciones para evitar que suceda.