Cover Image

Gli hacker di CryptoCore hanno guadagnato oltre $ 200 milioni violando gli scambi di criptovalute

25 Giugno 2020 - Tempo di lettura: 9 minuti

Un gruppo di hacker noto come CryptoCore ha realizzato rapine in criptovaluta del valore di $ 70 milioni, ma la ricerca indica che potrebbe essere un valore stimato di oltre $ 200 milioni dal 2018.

Secondo un nuovo rapporto della società di sicurezza informatica ClearSky, un gruppo di hacker chiamato CryptoCore, noto anche come "Dangerous Password” o “Leery Turtle”, prende di mira gli scambi di criptovaluta conducendo campagne di spear phishing contro dipendenti e dirigenti.

"L'obiettivo chiave dei furti di CryptoCore è quello di ottenere l'accesso ai portafogli degli scambi di criptovaluta, siano essi portafogli aziendali generali o portafogli appartenenti ai dipendenti dello scambio. Per questo tipo di operazione, il gruppo inizia con una vasta fase di ricognizione contro l'azienda, i suoi dirigenti , funzionari e personale IT ", afferma il rapporto ClearSky.

Dal 2018, CryptoCore ha preso di mira principalmente aziende negli Stati Uniti e in Giappone e ClearSky è stato in grado di attribuirli a cinque attacchi dal 2018.

Anche se non è del tutto chiaro dove sia basato questo gruppo di hacker, ClearSky ritiene che gli attori della minaccia abbiano collegamenti con la regione dell'Europa orientale, Ucraina, Russia o Romania.

Attacchi mirati di spear-phishing

CryptoCore attraversa una fase di ricognizione per identificare gli account di posta elettronica personali per i dirigenti dello scambio di criptovaluta quando conducono un attacco.

"Lo spear-phishing viene in genere effettuato impersonando un dipendente di alto rango dall'organizzazione target o da un'altra organizzazione (ad es. Comitato consultivo) con connessioni al dipendente target. Dopo aver ottenuto il punto d'appoggio iniziale, l'obiettivo principale del gruppo è ottenere l'accesso a l'account gestore password della vittima. Qui è dove vengono conservate le chiavi dei cripto-wallet e di altri beni preziosi - che saranno utili nelle fasi di movimento laterale ", afferma il rapporto.

Questi attacchi di spear phishing sono personalizzati per il target utilizzando domini che impersonano organizzazioni affiliate, e-mail che impersonano dirigenti o società affiliate e .LNK dannosi e documenti diffusi tramite e-mail.

I documenti distribuiti fingono di essere file protetti che necessitano di una password per aprirli. Questa password si trova in un file Password.txt.lnk che, una volta aperto, eseguirà gli script VBS per scaricare altri file dannosi.

Questi script VBS sono usati come backdoor nel computer della vittima, come illustrato dal diagramma TTP di CryptoCore dalla ricerca di JPCERT.

Una volta che CryptoCore ha infettato correttamente una vittima, gli aggressori useranno la backdoor per tentare di rubare le chiavi ai cripto-wallet che sono comunemente memorizzati nei gestori delle password.

ClearSky sospetta anche che il gruppo stia usando mimikatz su computer violati per raccogliere le credenziali di Windows per il dominio della rete.

Queste credenziali permetterebbero quindi agli aggressori di diffondersi lateralmente in tutta la rete mentre cercano e rubano le chiavi per i portafogli di criptovaluta.

Una volta rimossa l'autenticazione a più fattori dai portafogli di scambio, gli attori delle minacce accedono immediatamente a loro e trasferiscono la criptovaluta ai portafogli sotto il loro controllo.

CryptoCore non è il solo a mirare gli scambi di criptovaluta.

Nel marzo 2020, il Dipartimento di Giustizia degli Stati Uniti ha sanzionato due cittadini cinesi per il riciclaggio di criptovaluta rubata durante un attacco da parte del gruppo nordcoreano di criminalità informatica noto come Gruppo Lazarus.

intopic.it