O drama em curso em torno do hack da NVIDIA por Lapsus$ tem outro capítulo e está colocando os computadores em risco. O grupo de ransomware conhecido como Lapsus$ hackeou a NVIDIA em fevereiro de 2022. O grupo ameaçou vazar as informações roubadas se a NVIDIA não atendesse às demandas para remover as limitações de mineração de suas placas gráficas da série RTX 30. Desde então, o grupo vazou informações, que estão sendo usadas por agentes de ameaças.
O vazamento do grupo Lapsus$ inclui dois certificados de assinatura de código que a NVIDIA usa para assinar drivers e executáveis. Ambos expiraram, mas ainda podem ser usados para fazer com que o software malicioso pareça genuíno. O Windows examina os certificados de assinatura de código para garantir que um driver ou executável seja seguro. Se um arquivo mal-intencionado for assinado por um certificado aprovado, ele poderá ignorar as medidas de segurança no Windows.
BleepingComputador relata que os certificados roubados por meio do vazamento foram usados para assinar ferramentas de malware e hacking, incluindo backdoors, beacons Cobalt Strike, Mimikatz e trojans de acesso remoto.
Combater este ataque de Lapsus é complexo. É possível configurar as políticas de controle de aplicativos do Windows Defender para impedir que determinados drivers NVIDIA sejam carregados, mas isso requer conhecimento técnico sofisticado. A Microsoft também pode adicionar os drivers em questão à sua lista de revogação de certificados, mas isso causaria problemas para alguns drivers NVIDIA legítimos (e suas melhores placas gráficas associadas). Bleeping Computer observa que é improvável que a Microsoft dê esse passo em um futuro próximo.