L’americana Nvidia, produttrice leader di schede grafiche e GPU è stata presa di mira da un attacco informatico che ne ha esposto alcuni dati riservati.
Si tratta del gruppo di ransomware LAPSUS$, che per primo ha rivendicato l’attacco ma, stavolta, non si tratta di un attacco ransomware come da loro consuetudine. Analizziamo i dettagli della vicenda.
Indice degli argomenti
Attacco cyber a Nvidia, cosa è successo?
L’operazione è stata portata alla luce tra la notte di venerdì e le prime ore di sabato. Nel canale e nel gruppo Telegram, sul quale il team LAPSUS$ normalmente opera le proprie rivendicazioni, appare la rivendicazione singolare e curiosa di questo attacco, a giochi fatti ovviamente. La singolarità sta nel fatto che il gruppo criminale afferma di esser riuscito nell’intento di rubare 1TB di dati riservati da una macchina NVIDIA, e contestualmente lamenta che il team di risposta agli incidenti di NVIDIA abbia risposto a questo attacco con un ransomware nei loro confronti (forse elargito proprio nel mezzo dei dati rubati) al fine di eliminare i dati che il gruppo criminale stava rubando, senza successo in quanto tale operazione sarebbe avvenuta solo una volta che LAPSUS aveva già messo in salvo diversi backups del bottino.
Seriously what the hell is going on !!#Lapsus is claiming attacks on #Nvidia then #Nvidia hit back with a #Ransomware
Lapsus claims to have 1TB of data and is leaking all Nvidia employees' passwords and NTLM hashes@Cyberknow20 @SOSIntel @vxunderground @ransomwaremap pic.twitter.com/6hugTWEuhw
— Soufiane (@S0ufi4n3) February 26, 2022
Come è stata attaccata NVIDIA?
Come detto, l’attacco a NVIDIA ha degli scenari di singolarità e un altro di questi è proprio il metodo che ha permesso il successo dell’operazione. La spiegazione ci arriva dal gruppo stesso che ha commesso il databreach.
Il gruppo ha scoperto che un dipendente NVIDIA, per poter accedere alla VPN aziendale, necessita che il proprio PC venga inserito nella lista MDM della rete. MDM (mobile device management) è una metodologia ben sperimentata ed un insieme di strumenti utilizzati per fornire applicazioni e tool per la produttività mobile dei dipendenti, mantenendo sicuri i dati aziendali
Una volta ottenuto questa iscrizione (probabilmente per il tramite di un insider), il gruppo è in grado di accedere semplicemente da remoto, alla VPN aziendale. All’interno della quale hanno iniziato l’attività di spionaggio tra i file e la contestuale esfiltrazione di tutti quelli rilevanti.
Il databreach
Hanno portato via, così facendo un bottino di 1 TB di dati riservati della società, tra i quali elenchi di password dei dipendenti e, si mormora, codice sorgente per gli applicativi e progetti strategici di NVIDIA.
Il team LAPSUS$ stesso ci tiene a precisare che non si tratta di un hack, e che neppure hanno collaborato con altri gruppi ransomware per portare avanti questo attacco. E’ stato dunque una conquista, illecita, di un accesso non autorizzato alla propria VPN aziendale, da remoto. La spiegazione di questo metodo è stata pubblicata su Telegram dal gruppo LAPSUS$.
Rimane inteso invece il movente che ha spinto per tale operazione, unicamente quella classica dei gruppi ransomware, cioè la richiesta del riscatto. E’ arrivata infatti subito la richiesta di contatto, tramite canali riservati, per dar corso alla trattativa, come si può leggere nel post immortalato qui sotto.
