Mehrere potenziell gefährliche Malware-Stämme haben es geschafft, Antivirensoftware zu umgehen, indem sie gestohlene Nvidia-Signaturzertifikate kaperten.
Die Cyberkriminelle-Bande Lapsus€ gab kürzlich bekannt, dass sie ein Terabyte an Daten vom Chip-Riesen gestohlen hatte, und beschloss, die gestohlenen Informationen online zu veröffentlichen, nachdem es ihnen nicht gelungen war, mit dem Unternehmen eine Lösegeldvereinbarung zu erzielen.
Als Forscher begannen, den Schatz an vertraulichen Informationen zu durchsuchen, entdeckten sie zwei Codesignaturzertifikate, die Nvidia-Entwickler zum Signieren ihrer Treiber und ausführbaren Dateien verwenden. Mithilfe dieser Sicherheitsmaßnahmen können Windows-Endpunkte überprüfen, wer eine bestimmte Anwendung oder ein bestimmtes Programm erstellt hat, und sicherstellen, dass nichts manipuliert wurde.
Als legitime Software getarnte Malware
Beim Vergleich der gestohlenen Zertifikate mit ihrer Datenbank stellten die Forscher schnell fest, dass sie zum Signieren von Malware und anderen bösartigen Tools verwendet wurden.
Wie der Malware-Scandienst VirusTotal berichtet, wurden die Zertifikate zum Signieren von Cobalt Strike-Beacons, Mimikatz sowie verschiedenen Hintertüren, Fernzugriffstrojanern und anderer Malware verwendet.
Laut den Sicherheitsforschern Kevin Beaumont und Will Dormann können gestohlene Zertifikate mit diesen Seriennummern gefunden werden:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Beide Zertifikate wären inzwischen abgelaufen, was Windows jedoch nicht davon abhält, das Laden eines damit signierten Treibers in das Betriebssystem zuzulassen.
Es gibt Möglichkeiten, Windows Defender-Anwendungskontrollrichtlinien zu konfigurieren, um kompromittierte Nvidia-Treiber zu entfernen, aber wie BleepingComputer sagt: „Es ist keine leichte Aufgabe, insbesondere für Windows-Benutzer ohne IT-Kenntnisse“, die warten müssen. Zertifikat. Widerrufsliste.
Lapsus macht sich ziemlich schnell einen Namen. Nachdem das Unternehmen Ende letzten Jahres Impresa, Portugals größten Medienkonzern, ins Visier genommen und mehrere Websites, TV-Kanäle, die AWS-Infrastruktur und Twitter-Konten lahmgelegt hatte, griff es auch die Websites des brasilianischen Gesundheitsministeriums (MoH) an und stellte die Impfbemühungen gegen Covid-19 ein. während der gesamten Kampagne. Er behauptete, 50 TB Daten gestohlen zu haben, bevor er sie von den Servern des Gesundheitsministeriums löschte.
Bei dem Angriff auf Nvidia behauptet der Konzern, die Zugangsdaten und andere sensible Daten von Zehntausenden Nvidia-Mitarbeitern erbeutet zu haben. Er sagt auch, dass die Daten ihm geholfen haben, ein Tool zu entwickeln, um den Hash-Rate-Limiter für die RTX 3000-GPU zu entfernen, mit dem Ether mit nur 50 % Kapazität geschürft werden kann.
Außerdem wurden 190 GB an sensiblen Daten von Samsung veröffentlicht, die, wenn sie als echt befunden werden, eine der verheerendsten Datenschutzverletzungen in diesem Jahr darstellen könnten.
Via: BleepingComputer