Grootschalig datalek bij Nvidia wordt actief misbruikt

Een datalek bij Nvidia stelt cybercriminelen in staat om malware te vermommen met vertrouwde code signing certificates.

Sinds vorige week zegt ransomwaregroep Lapsus$ over 1TB aan privégegevens van Nvidia te beschikken. Nvidia erkende dat er gegevens zijn gestolen, maar verwachtte “geen impact op klanten”. Dat blijkt een inschattingsfout. Cybercriminelen gebruiken gestolen code signing certificates om malware op Windows pc’s te verspreiden.

Een code signing certificate stelt een developer in staat om bestanden te tekenen. De handtekening maakt het mogelijk om de afkomst en wijzigingen van Windows-bestanden te bepalen. Eindgebruikers en third-party apps kunnen applicaties weigeren aan de hand van een handtekening.

Een bestand met een gestolen code signing certificate is lastig te controleren op securitydreigingen. Op dit moment worden er gestolen code signing certificates van Nvidia gebruikt om meerdere malwarevormen te verduisteren, waaronder Mimikatz en kwaadaardige Cobalt Strike beacons.

Bestrijding

Handtekeningen hebben een houdbaarheidsdatum. De gestolen handtekeningen reeds zijn verstreken, maar getekende applicaties worden alsnog door Windows uitgevoerd. Sommige securitytools, waaronder Windows Defender, bieden policies om bestanden met handtekeningen van bepaalde vendoren en serial numbers te blokkeren. Dat is voorlopig de beste verdediging. Volgens securityonderzoekers Kevin Beaumont en Will Dormann gebruiken alle handtekeningen de onderstaande serial numbers.

Nvidia onder druk

Lapsus$, de eerdergenoemde ransomwaregroep, lekte de code signing certificates om Nvidia onder druk te zetten. De ransomwaregroep probeert Nvidia te forceren om de Lite Hash Rate’s (LHR) van videokaarten te verhogen. Videokaarten met een hoge LHR zijn geschikt voor cryptomining. Nvidia limieert de LHR van videokaarten om te te voorkomen dat cryptominers alle voorraad opkopen. Lapsus$ dreigt alle gestolen gegevens te lekken als Nvidia de LHR van videokaarten blijft limiteren.