Il gruppo Lapsus$ ha chiesto all’azienda californiana di eliminare il limitatore di hash rate delle schede video GeForce RTX 30, altrimenti verranno pubblicati il codice sorgente dei firmware e i dettagli sulle future GPU inclusi nell’archivio da 20 GB rubato il 23 febbraio. Secondo il sito Have I Been Pwned, i cybercriminali hanno sottratto indirizzi email e password hash NTLM di oltre 71.000 dipendenti.
Lapsus$: doppia minaccia per NVIDIA
Il gruppo Lapsus$ aveva comunicato di aver effettuato l’accesso ai sistemi interni di NVIDIA e rubato oltre 1 TB di dati (firmware, driver, tool di sviluppo e altro). L’azienda californiana non ha ceduto alle minacce, quindi i cybercriminali hanno pubblicato un archivio di 20 GB che include le password dei dipendenti e alcune informazioni proprietarie. NVIDIA ha confermato l’accaduto il 1 marzo, ma da allora non ha fornito altri aggiornamenti.
Secondo il sito Have I Been Pwned, Lapsus$ ha condiviso indirizzi email e password hash NTLM di oltre 71.000 dipendenti. NVIDIA ha oggi circa 19.000 dipendenti in tutto il mondo, quindi le credenziali appartengono anche ad ex dipendenti.
I cybercriminali hanno posto due condizioni per non divulgare il codice sorgente dei firmare e le informazioni sulle GPU in sviluppo (come la GeForce RTX 3090 Ti): rendere open source i futuri driver e rimuovere il Lite Hash Rate dalle schede video GeForce RTX 30, ovvero il limitatore che impedisce di sfruttare la potenza delle GPU per il mining delle criptovalute.
Tra i dati finiti online ci sono anche due certificati digitali che NVIDIA usa per firmare i driver. Alcuni ricercatori di sicurezza hanno scoperto che questi certificati sono stati utilizzati per firmare vari tipi di malware e tool di hacking, tra cui Cobalt Strike, Mimikatz, backdoor e RAT (Remote Access Trojan). I certificati sono scaduti, ma Windows permette di ugualmente di caricare i driver. Microsoft dovrebbe quindi aggiungere i certificati alla CRL (Certificate Revocation List).