Certificados de firma de código pellizcados en el ataque de Nvidia utilizados para malware
Los certificados pertenecientes a Nvidia que fueron sustraídos como parte del ciberataque al fabricante de chips a fines de febrero de 2022 se están utilizando actualmente para firmar código malicioso, en un intento de empujar el malware más allá de las defensas automatizadas.
Los paquetes maliciosos firmados con los certificados de Nvidia se utilizan para apuntar a sistemas basados en Windows. Nvidia fue atacada por la banda de ransomware Lapsus$ a fines de febrero y los certificados en cuestión fueron exfiltrados como parte del ataque. El volumen resumido del ataque Lapsus$ ascendió a alrededor de 1 TB de datos desviados de los servidores del fabricante de chips.
Los certificados caducados aún son aceptados por el sistema operativo
Además de los certificados robados, Lapsus$ también logró robar esquemas, controladores y datos hash de correo electrónico y contraseña pertenecientes a más de 70 mil empleados de Nvidia.
Los investigadores de seguridad acudieron a Twitter unos días después del ataque inicial, informando que los mismos certificados se estaban utilizando para firmar archivos binarios que contienen malware. Las cargas útiles que usaban los certificados robados se identificaron más tarde como instancias de Mimikatz, Cobalt Strike y herramientas maliciosas de puerta trasera y acceso remoto.
A pesar de que los certificados de Nvidia robados están vencidos, los investigadores descubrieron que todavía se podían usar para firmar software, como controladores que se implementarían bien en máquinas con Windows.
Will Dormann, analista de vulnerabilidades de CERT, y Kevin Beaumont compartieron los números de serie de los certificados de Nvidia mal utilizados, que son los siguientes:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Microsoft ofrece técnicas de mitigación
El director de seguridad empresarial y del sistema operativo de Microsoft tuiteó una forma de limitar los controladores de Nvidia que pueden cargarse en el sistema, pero hacer esto requiere ajustar la configuración en las políticas de control de aplicaciones de Windows Defender, lo cual no es exactamente algo fácil de descubrir para los usuarios regulares. usuarios en el hogar, pero aún así debería ser de ayuda para empresas y redes más grandes que tienen personal de seguridad de TI dedicado.
Como parte de su ataque a Nvidia, la banda de ransomware Lapsus$ exigió que el fabricante de chips haga que todos sus controladores sean de código abierto, algo que obviamente nunca sucederá. Los piratas informáticos amenazaron con revelar la fuente ellos mismos, pero esto sigue siendo solo una amenaza en este momento.