Accueil Sciences & Tech Le groupe de pirates LAPSUS$ vole les informations d’identification des signatures de...

Le groupe de pirates LAPSUS$ vole les informations d’identification des signatures de code Nvidia pour télécharger des logiciels malveillants.

1026
0

Marrakech, Mar. 8. (Maroc-Actu) –

Un groupe de pirates informatiques se faisant appeler LAPSUS$ a certificats de signature électronique volés des développeurs de Nvidia pour accéder au matériel informatique et télécharger des logiciels malveillants.

Un certificat de signature de code est un certificat numérique qui permet d’identifier le développeur d’une entreprise, qui l’utilise pour signer les fichiers exécutables et les conducteurs avant de les distribuer ouvertement au public.

Grâce à ce document, les utilisateurs peuvent vérifier l’origine, la propriété et l’authenticité du fichier original. Ils peuvent ensuite le télécharger en toute sécurité sur leur système d’exploitation, en sachant qu’il n’a pas été altéré par un agent extérieur.

Microsoft exige que les pilotes trouvés dans Kernel – qui est le noyau du système d’exploitation – soient signés par un code et autrement, le système d’exploitation ne permet pas d’ouvrir le fichier.

Ainsi, ce groupe de pirates a volé ces certificats de signature de code pour introduire des « logiciels malveillants ». se faisant passer pour des fichiers sécurisés et permettant de télécharger des pilotes malveillants sur Windows, a expliqué PC Gamer.

L’origine de ce vol de certificat de code s’est produite il y a quelques jours, lorsque Nvidia a été victime d’une attaque par ransomware, confirmé par l’entreprise elle-même. Ce groupe a accédé à ses serveurs pendant une semaine, a obtenu des autorisations d’administrateur et a extrait au moins 1 To de données.

À la suite de ce vol, LAPSUS$ a menacé la société de partager ses données « logicielles » et « micrologicielles » si Nvidia ne supprimait pas le limiteur de performance minière sur ses GPU de la série RTX 30.

Lire aussi:  La dague "spatiale" de Tuntankhamun a été forgée hors d'Egypte.

Car Nvidia n’a pas cédé à ces menaces, les attaquants ont provoqué une fuite de certificats de signature de code, 71 000 identifiants d’employés, le code source DLSS de la société et certains noms de GPU GeForce de prochaine génération.

Selon Tech Power Up, ces certificats sont maintenant utilisés pour développer une nouvelle génération de logiciels malveillants qui peuvent sembler sûrs pour les ordinateurs Windows.

En réalité, certains des certificats de signature de code qui ont fuité expiré en 2014 et 2018. Cependant, sur les PC équipés de ce système d’exploitation, ils sont toujours répertoriés comme valides pour la signature des pilotes et des fichiers de téléchargement.

Parmi les fichiers malveillants détectés par le fournisseur d’antivirus VirusTotal figure une variante du cheval de Troie d’accès à distance (RAT), Quasar, qui semble être signée avec des certificats Nvidia.

Ce site travaille en arrière-plan par un accès à distance à l’ordinateur par le groupe d’attaquants, qui peut manipuler le système et voler les données cryptées pour les offrir contre une rançon.

D’autres certificats volés ont été utilisés pour signer des « logiciels malveillants ». Cobalt Strike, un outil permettant de réaliser des intrusions dans le système, et l’application open source Mimikatz, comme le rapporte Bleeping Computer.

Parallèlement, les cyberanalystes Kevin Beaumont et Will Dormann ont réussi à récupérer deux numéros de série volés par les cybercriminels, à savoir 43BB437D609866286DDD839E1D00309F5 et 14781bc862e8dc503a559346f5dcc518.

Les deux codes sont signatures Nvidia expirées avec lesquels les attaquants peuvent contourner la sécurité de l’ordinateur parce que Windows les reconnaît toujours comme valides.

Lire aussi:  Une exploratrice a sauvé une minuscule pieuvre des déchets plastiques et la vidéo est devenue virale sur les médias sociaux.

Pour empêcher ce « malware » de s’intégrer dans Windows, le vice-président et directeur de la sécurité des entreprises et des systèmes d’exploitation de Microsoft, David Westona conseillé aux administrateurs de revoir le Les paramètres du contrôle des applications de Windows Defender.

 » Vous devez créer une politique avec l’Assistant puis ajouter une règle de refus. [para estos códigos] ou autoriser des versions spécifiques de Nvidia si nécessaire », a-t-il déclaré. via Twitter.

Il convient de rappeler que ce même groupe de cybercriminels a affirmé ce week-end avoir volé des informations internes à Samsung. Plus précisément, 190 Go de donnéesqu’il a partagé via un canal Telegram.

Selon ces cybercriminels, cette extorsion comprend des informations sur les systèmes ou les capacités d’authentification biométrique. pour contourner les systèmes de sécurité des téléphones de l’entreprise coréenne.

Pour sa part, Samsung a confirmé un accès non autorisé à ses systèmes qui a exposé des informations internes à l’entreprise, notamment le code source des téléphones Galaxy. Elle a également assuré qu’elle renforçait déjà les protections pour éviter que cela ne se produise.