Grup Criminal CryptoCore

Els investigadors d'Infosec creuen que han aconseguit descobrir la identitat del grup cibercriminal responsable de diverses campanyes d'atac multimilionaris dirigides principalment als intercanvis de criptomoneda. El grup de pirates informàtics va rebre el nom de CryptoCore pels experts en seguretat que feien el seguiment de la seva activitat. Un informe inicial atribuïa els atacs a pirates informàtics d'Europa de l'Est, possiblement localitzats a països de la regió com Ucraïna, Rússia i Romania.

Múltiples venedors de ciberseguretat van fer un seguiment d'aquest informe i van publicar les seves pròpies conclusions sobre diferents operacions malicioses que presentaven similituds significatives amb les activitats observades pels investigadors de seguretat. Un informe de F-SECURE va revelar detalls sobre una campanya multinacional a gran escala contra les carteres criptogràfiques, mentre que el CERT JPCERT/CC del Japó va compartir les seves conclusions després d'una anàlisi de múltiples atacs contra empreses japoneses. L'últim article va ser un informe de NTT Security, una empresa japonesa de ciberseguretat, sobre una campanya que van fer un seguiment com a CRYPTOMIMIC.

Després de combinar i comparar la informació recopilada, els investigadors van tenir prou evidència per atribuir les operacions CryptoCore amb una confiança mitjana a alta al grup de pirateria Lazarus patrocinat per l'estat de Corea del Nord. Això va confirmar les conclusions establertes prèviament per F-Secure.

Detalls de l'atac CryptoCore

Els atacs es van detectar per primera vegada l'any 2018 i van implicar tàctiques de pesca amb lanza dissenyades per aconseguir un lloc dins de l'entitat objectiu. Els pirates informàtics van assumir diferents identitats i van iniciar contacte amb els usuaris escollits. Aleshores, les víctimes van ser enganyades perquè baixessin un o més fitxers danyats als seus ordinadors. Entre el 2018 i el 2020, es va determinar que 5 campanyes d'atac diferents formarien part de les operacions CryptoCore. Les entitats compromeses incloïen tres intercanvis de criptomonedes diferents i diverses empreses japoneses. Les pèrdues estimades com a resultat dels pirates superen els 200 milions de dòlars.

Sembla que els cibercriminals estan ampliant l'abast de les seves activitats incloent objectius israelians en les seves operacions recents. El canvi pot ser un signe de reajustament en el seu enfocament o que els pirates informàtics van perseguint empreses que coincideixen amb un perfil financer específic.