Nota: O seguinte artigo irá ajudá-lo com: A violação da Nvidia pode ajudar os cibercriminosos a executar campanhas de malware
Nenhuma empresa está a salvo de ser alvo de cibercriminosos. Recentemente, foi a vez da Nvidia ser comprometida e os invasores vazaram muitas informações corporativas, incluindo credenciais de mais de 70.000 funcionários e dois certificados de digital.
A demanda de resgate e o vazamento
Na sexta-feira, 28 de fevereiro, o grupo cibercriminoso “Lapsus$” anunciou por meio de seu canal Telegram que havia comprometido a Nvidia e roubado cerca de 1 TB de dados – e pediu um resgate que você não vê todos os dias: pediu à Nvidia para permitir LHR novamente em todo o seu firmware (Figura A).
Figura A
LHR, que significa Lite Hash Rate, é um novo recurso que a Nvidia introduziu em suas placas gráficas para reduzir as possibilidades dessas placas fazerem mineração de criptomoedas. O objetivo desse recurso é impedir que as pessoas comprem esses cartões para mineração de criptomoedas e tenham todo o estoque para os jogadores.
A Lapsus$ lançou um primeiro arquivo contendo arquivos, incluindo 71.335 endereços de e-mail e senhas de hash NTLM associadas da Nvidia, que confirmou o vazamento e disse que todos os seus funcionários foram obrigados a alterar suas senhas.
No entanto, o vazamento não continha apenas credenciais, mas também código-fonte e mais dados, incluindo dois certificados digitais de de código.
VEJO: Crimes futuros habilitados para IA classificados: Deepfakes, spearphishing e muito mais (TechRepublic)
O que é um certificado de de código e por que é tão importante?
Um certificado de de código permite que um desenvolvedor de software ou empresa assine digitalmente arquivos executáveis. Portanto, garante que o código não foi alterado ou corrompido. Esse tipo de digital é baseado em hash criptográfico para validar a autenticidade e integridade dos dados. Não pode ser falsificado.
Mas o que acontece se alguém colocar as mãos no certificado de de código de uma empresa de software? A resposta, em resumo, é assustadora: qualquer arquivo executável pode ser assinado com esse certificado, fazendo com que pareça totalmente legítimo para o sistema operacional e seus usuários. Dessa forma, um malware pode se esconder no sistema de forma mais eficiente, não acionando nenhum alerta quando executado.
Roubo de certificado de de código — mais comum do que você imagina
Os certificados de de código são ativos importantes que devem ser cuidadosamente protegidos. No entanto, o comprometimento da de certificados é uma técnica antiga que foi usada no ado por vários cibercriminosos para seus malwares. Um bom exemplo é o malware Stuxnet, que usou dois certificados roubados diferentes para suas diferentes versões.
No lado da espionagem cibernética, o roubo de certificados digitais para de malware também é relativamente comum. Vários atores de ameaças usaram esse método no ado e ainda o fazem. A do malware Plead usado na espionagem cibernética é um exemplo, mas há mais por aí.
Roubar certificados de digital de empresas de software parece ser interessante o suficiente para alguns agentes de ameaças que demonstraram a capacidade de implantar rapidamente malware assinado com certificados de diferentes empresas legítimas.
VEJA: Malware destrutivo “HermeticWiper” atinge a Ucrânia (TechRepublic)
Certificados de roubados da Nvidia
No caso da Nvidia, foi revelado publicamente que pelo menos dois certificados diferentes vazaram. Esses certificados expiraram (os certificados digitais não são para sempre; eles têm uma data de expiração), mas ainda podem ser usados para arquivos. A razão para isso está na política de de drivers da Microsoft, que afirma que o sistema operacional executará drivers “assinados com um certificado de entidade final emitido antes de 29 de julho de 2015 que se encadeia a uma CA com cruzada ada”.
Logo após a publicação do vazamento, arquivos executáveis assinados com esses dois certificados digitais apareceram no VirusTotal. Embora os primeiros arquivos enviados provavelmente fossem apenas testes de pesquisadores e geeks, alguns malwares reais também foram encontrados, como uma variante Quasar RAT e uma variante de ransomware Ryuk.
É possível que os es bloqueiem esses dois certificados nos sistemas de sua empresa, mas tudo depende de qual software eles estão executando.
Os dois certificados vazados são os seguintes:
Nome: NVIDIA Corporation
Status: Este certificado ou um dos certificados na cadeia de certificados não é válido por tempo.
Emissor: de Código VeriSign Classe 3 2010 CA
Válido a partir de: 12:00 AM 09/02/2011
Válido até: 23h59 de 01/09/2014
Uso válido: de código
Algoritmo: sha1RSA
Impressão digital: 579AEC4489A2CA8A2A09DF5DC0323634BD8B16B7
Número de série: 43 BB 43 7D 60 98 66 28 6D D8 39 E1 D0 03 09 F5
Nome: NVIDIA Corporation
Status: Este certificado ou um dos certificados na cadeia de certificados não é válido por tempo.
Emissor: de Código VeriSign Classe 3 2010 CA
Válido a partir de: 00:00 28/07/2015
Válido até: 23h59 de 26/07/2018
Uso válido: de código
Algoritmo: sha1RSA
Impressão digital: 30632EA310114105969D0BDA28FDCE267104754F
Número de série: 14 78 1B C8 62 E8 DC 50 3A 55 93 46 F5 DC C5 18
O que pode ser feito contra esses certificados?
Os usuários podem usar as políticas do Windows Defender Application Control (WDAC) para controlar quais drivers da Nvidia podem ser carregados, mas é um processo de configuração bastante complicado. A Microsoft provavelmente fornecerá atualizações de usuário para revogar os certificados roubados, mas pode ser problemático, pois alguns drivers Nvidia legítimos mais antigos também são assinados com esses certificados e podem desencadear erros.
O que fazer se houver vazamento de dados da sua empresa
O vazamento da Nvidia contém muitos tipos diferentes de dados. O primeiro o é, obviamente, fazer com que todos os usuários alterem imediatamente suas senhas e adicionem autenticação de dois fatores (2FA), se ainda não implantada, como medida de segurança adicional.
No caso de vazamento de código-fonte, é preciso cortar urgentemente todo o o às plataformas/servidores de desenvolvimento para que um fraudador não possa abusar dele e verificar a integridade dos servidores.
Se o código vazar no GitHub ou em uma entidade de terceiros, entre em contato com eles para removê-lo o mais rápido possível.
Além disso, verifique e altere todas as senhas, chaves de API e qualquer tipo de token que possa estar em uso no código. Se um certificado digital vazar da sua empresa, desative-o o mais rápido possível.
