6 mar 2022

El grupo LAPSUS$ roba datos de Nvidia y Samsung

LAPSUS$, el grupo de atacantes que consiguió robar 1 TB de información confidencial a Nvidia, ahora ha anunciado que ha conseguido robar información de otra gran compañía, Samsung.

Caso Nvidia

La compañía estadounidense de fabricación de chips NVIDIA confirmó el martes que su red fue violada como resultado de un ataque cibernético, lo que permitió a los delincuentes obtener acceso a datos confidenciales, incluido el código fuente supuestamente asociado con su tecnología Deep Learning Super Sampling (DLSS).

"No tenemos evidencia de que se esté implementando ransomware en el entorno de NVIDIA o que esté relacionado con el conflicto entre Rusia y Ucrania", dijo la compañía en un aviso de seguridad. "Sin embargo, somos conscientes de que el actor de amenazas tomó las contraseñas de los empleados y cierta información patentada de NVIDIA de nuestros sistemas y comenzó a filtrarla en línea".

Se dice que el incidente salió a la luz el 23 de febrero, y la compañía señaló que tomó medidas para analizar la información filtrada y que está obligando a todos sus empleados a cambiar sus contraseñas con efecto inmediato. El grupo logró obtener hasta 1 TB de datos de los servidores de NVIDIA y la semana pasada publicó el código fuente de la tecnología DLSS en un archivo de documentos de 20 GB.

La confirmación se produce días después de que The Telegraph informara la semana pasada que la compañía está investigando un posible ataque cibernético que dejó "partes de su negocio fuera de línea durante dos días". Bloomberg, en un informe de seguimiento, dijo que "la violación fue un ataque menor de ransomware," citando a una "persona familiarizada con el incidente".

Según la firma DarkTracer, la pandilla extorsionista LAPSUS$, también detrás de los ataques a Impresa, Localiza, Claro y Embratel a principios de este año, se atribuyó la responsabilidad del incidente, filtrando lo que dijo que era información confidencial robada a menos que se pagara un "tarifa."

También se incluyen en el robo, entre los esquemas y el código fuente de los controladores y el firmware, las direcciones de correo electrónico y los hash de contraseñas NTLM de 71.335 de los empleados del fabricante de chips, según reveló Have I Been Pwned el servicio de notificación de violación de datos de Troy Hunt.

Además de eso, el grupo también alegó que NVIDIA había hackeado y cifrado los datos saqueados con ransomware, y agregó que finalmente recuperó los archivos de una copia de seguridad.

Desde entonces, los intrusos han revisado sus demandas, pidiendo a NVIDIA que publique una actualización de software que elimine la tecnología Lite Hash Rate (LHR) en sus tarjetas gráficas, que está diseñada para reducir la tasa de minería de Ethereum en un 50% y evitar que los mineros de criptomonedas comprar las GPU enfocadas en juegos.

"Solicitamos que NVIDIA se comprometa a liberar completamente (y distribuir bajo una licencia FOSS) sus controladores de GPU para Windows, macOS y Linux, de ahora en adelante y para siempre", publicaron los ciberdelincuentes en su grupo de Telegram, además de amenazar con más fugas y ofreciendo una herramienta de bypass de LHR por U$S 1 millón.

Los desarrollos, sin embargo, no han desconcertado a NVIDIA. "Como resultado del incidente, no anticipamos ninguna interrupción en nuestro negocio o en nuestra capacidad para con nuestros clientes", dijo la compañía en un comunicado.

Samsung

El banda de ransomware Lapsus$ también afirma haber hackeado Samsung Electronics y filtrado supuestos datos confidenciales robados. La banda afirma haber robado una gran cantidad de datos confidenciales de Samsung Electronics y filtró 190 GB de supuestos datos de Samsung como prueba del ataque (código fuente en C/C++).

La pandilla anunció la disponibilidad de los datos de muestra en su canal de Telegram y compartió un archivo Torrent para descargarlo. También compartieron una imagen del código fuente incluido en los datos robados.

Han filtrado también los algoritmos para todas las operaciones de desbloqueo biométrico, incluyendo el código fuente que se comunica directamente con el sensor (hasta el nivel más bajo, estamos hablando de flujos de bits RX/TX individuales), el código fuente del bootloader para todos los dispositivos recientes de Samsung, incluyendo los datos de Knox y el código para la autentificación, e incluso código fuente confidencial de Qualcomm.

El robo de información continua con el código fuente de los servidores de activación de Samsung, código fuente completo de las cuentas de Samsung, lo que incluye "Autentificación, Identidad, API, Servicios, ¡y muchos más que no entran aquí!". Al igual que sucedió con Nvidia, ahora es de esperar que tras esta información se pueda encontrar detalles valiosos para filtrar. Tocará esperar a que Samsung se pronuncie oficialmente para conocer la gravedad del asunto, si es que lo hace.

El grupo publicó una descripción de la filtración diciendo qué contiene:
  • Código fuente de todos los Trusted Applet (TA) instalados en el entorno TrustZone de Samsung utilizados para operaciones sensibles.
  • Algoritmos para todas las operaciones de desbloqueo biométrico.
  • El código fuente del bootloader de los recientes dispositivos de Samsung.
  • Código fuente confidencial de Qualcomm.
  • Código fuente de los servidores de activación de Samsung.
  • El código fuente de la tecnología utilizada para autorizar y autenticar las cuentas de Samsung, incluidas las API y los servicios.

Actualización: el grupo ahora pregunta públicamente cual debería ser su próximo leak. La aparición de esas empresas, fortalece (no la confirma de ninguna manera) la idea de que algunos miembros de LAPSUS$ tienen vínculos en Sudamérica.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!