# LAPSUS$ Nvidia 2022
> [!high] LAPSUS$ Vaza 1TB de Dados da Nvidia e Exige Remoção de Limitador de Mineracao de Criptomoedas
> Em fevereiro de 2022, o [[g1004-lapsus]] comprometeu a rede interna da Nvidia e exfiltrou aproximadamente 1 terabyte de dados proprietários - incluindo código-fonte de drivers e firmware de GPU, schematics técnicos e credenciais NTLM de 71.335 funcionários. A extorsão foi atípica: em vez de pagar resgate por descriptografia, o grupo exigiu que a Nvidia removesse o limitador de taxa de hash (LHR) das GPUs da série 30 - tecnologia que limitava o uso das placas para mineração de criptomoedas. O caso ilustra como o LAPSUS$ operava com motivações e demandas radicalmente diferentes dos grupos de ransomware tradicionais.
## Visão Geral
Em 23 de fevereiro de 2022, a Nvidia detectou um incidente de segurança que impactava seus recursos de TI internos. Poucas horas depois, o [[g1004-lapsus]] públicou mensagem no Telegram reivindicando a responsabilidade e afirmando ter exfiltrado 1TB de dados da maior fabricante de GPUs do mundo. Nos dias seguintes, o grupo públicou progressivamente os dados roubados online como prova do comprometimento.
O [[g1004-lapsus]] (rastreado pela Microsoft como DEV-0537 e mais tarde Strawberry Tempest) não usou ransomware tradicional - sua métodologia era fundamentalmente diferente. O grupo roubava dados, os públicava parcialmente como prova, e então fazia exigências incomuns. No caso da Nvidia, a demanda era técnicamente específica: remover o Low Hash Rate (LHR) limiter das GPUs da série 30, uma funcionalidade introduzida pela Nvidia em 2021 para reduzir o apelo das placas para mineradores de criptomoedas e garantir disponibilidade para jogadores.
O acesso inicial foi obtido via métodos característicos do [[g1004-lapsus]]: credenciais de funcionários comprometidas, possívelmente via infostealer ou acesso comprado em marketplaces criminosos. Uma vez dentro da rede, o grupo navegou por sistemas internos, acessou repositórios de código e documentação técnica, e exfiltrou dados antes de iniciar a extorsão pública.
O impacto da violação foi substancial: os 71.335 hashes de senha NTLM de funcionários da Nvidia foram rapidamente convertidos em senhas em texto claro por pesquisadores usando cracking offline, expondo credenciais de engenheiros com acesso a sistemas críticos. O código-fonte vazado incluía implementações do DLSS (Deep Learning Super Sampling) e drivers proprietários.
## Attack Flow da Operação
```mermaid
graph TB
A["Acesso Inicial<br/>Credenciais comprometidas de funcionários<br/>Possívelmente via infostealer ou compra<br/>Acesso a VPN ou sistemas internos"] --> B["Reconhecimento Interno<br/>Navegação em sistemas corporativos<br/>Identificação de repositórios de código<br/>Acesso a GitHub interno e drives"]
B --> C["Exfiltração em Massa<br/>1TB de dados coletados<br/>Drivers, firmware, schematics de GPU<br/>Base de dados de funcionários com NTLM hashes"]
C --> D["Extorsão Pública<br/>Reivindicação no Telegram<br/>Publicação de 20GB como prova<br/>Demanda de remoção do LHR limiter"]
D --> E["Escalada<br/>Nvidia não atendeu as demandas<br/>Publicação de DLSS source code<br/>Publicação de certificados de driver assinados"]
```
**Técnicas:** [[t1078-valid-accounts|T1078]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1530-data-from-cloud-storage|T1530]]
## Dados Comprometidos
| Categoria | Detalhe | Impacto |
|----------|---------|---------|
| Credenciais de funcionários | 71.335 hashes NTLM crackeáveis | Exposição de senhas de engenheiros e acessos |
| Código-fonte DLSS | Deep Learning Super Sampling implementation | Propriedade intelectual crítica de IA/renderização |
| Drivers e firmware | Source code de drivers Windows/Linux/macOS | Análise de vulnerabilidades, bypass de proteções |
| Schematics técnicos | Documentação técnica de arquitetura GPU | Informação sensível para competidores |
| Certificados de driver | Certificados code-signing legítimos da Nvidia | Usados para assinar malware - impacto secondary |
## Consequência dos Certificados Roubados
Um efeito secundário crítico do hack foi a públicação de certificados digitais legítimos de assinatura de driver da Nvidia. Estes certificados foram rapidamente adotados por grupos de malware para assinar drivers maliciosos com certificados legítimos da Nvidia - que o Windows aceita automaticamente. A Nvidia revogou os certificados, mas a revogação não é instantânea e sistemas sem conexão à internet não verificam CRL (Certificate Revocation Lists).
## Demanda Atípica: Por que Remover o LHR?
```mermaid
graph TB
subgraph "Contexto 2021-2022"
CRYPT["Boom de criptomoedas<br/>GPU demand altíssima<br/>Ethereum PoW ainda ativo"]
LHR["Nvidia introduz LHR<br/>Limita hash rate para ETH<br/>em GPUs série 30"]
GAMER["Placa para gamers<br/>não pode minar<br/>em plena capacidade"]
end
subgraph "Motivação LAPSUS
quot;
MINING["Membros ou clientes do LAPSUSlt;br/>queriam minar com RTX 30xx<br/>sem limitação LHR"]
EXTOR["Extorsão técnica:<br/>remove LHR ou publicamos dados<br/>Demanda sem precedente"]
end
CRYPT --> LHR --> GAMER
GAMER --> MINING --> EXTOR
```
## Relevância para o Brasil e LATAM
> [!low] Técnicas de Extorsão Sem Ransomware - Relevância para Empresas Tecnológicas Brasileiras
> O hack da Nvidia pelo [[g1004-lapsus]] não tem impacto direto no Brasil, mas o grupo tem raízes documentadas no país (ver [[lapsus-extortion-campaign-2022]]). A técnica de extorsão por dados sem ransomware - roubar e ameaçar públicar - é replicável contra empresas de tecnologia brasileiras com propriedade intelectual valiosa. As credenciais NTLM expostas também foram usadas para acessar outros serviços, demonstrando o risco de reuso de credenciais corporativas.
## Detecção e Defesa
- Implementar monitoramento de exfiltração de grandes volumes de dados de repositórios internos de código
- Usar NTLM hashing seguro (ou eliminar NTLM completamente - preferir Kerberos) e salt adequado para resistir a cracking offline
- Monitorar acesso incomum de contas a sistemas de documentação técnica e firmware repositories
- Revogar certificados de code-signing imediatamente após qualquer suspeita de comprometimento
- Implementar DLP para detectar transferências de grandes arquivos comprimidos de sistemas internos para armazenamento externo
## Referências
- [Deepwatch — NVIDIA Confirms Data Was Stolen as Lapsus$ Takes Credit (Feb 2022)](https://www.deepwatch.com/labs/nvidia-confirms-data-was-stolen-lapsus-takes-credit/)
- [BleepingComputer — Hackers to NVIDIA: Remove mining cap or we leak hardware data (Feb 2022)](https://www.bleepingcomputer.com/news/security/hackers-to-nvidia-remove-mining-cap-or-we-leak-hardware-data/)
- [The Hacker News — Hackers Who Broke Into NVIDIA's Network Leak DLSS Source Code Online (Mar 2022)](https://thehackernews.com/2022/03/hackers-who-broke-into-nvidias-network.html)
- [[g1004-lapsus]] - Grupo responsável pelo hack e extorsão da Nvidia
- [[lapsus-extortion-campaign-2022]] - Campanha completa do LAPSUS$ em 2021-2022
- [[t1078-valid-accounts|T1078]] - Uso de credenciais comprometidas para acesso inicial
- [[t1530-data-from-cloud-storage|T1530]] - Exfiltração de dados de repositórios internos