CryptoCore Criminal Group

Infosec-forskere mener at de har klart å avdekke identiteten til den nettkriminelle gruppen som er ansvarlig for flere millioner angrepskampanjer rettet mot kryptovalutabørser. Hackergruppen fikk navnet CryptoCore av sikkerhetsekspertene som sporer aktiviteten. En første rapport tilskrev angrepene til østeuropeiske hackere, muligens lokalisert i land fra regionen som Ukraina, Russland og Romania.

Flere cybersikkerhetsleverandører fulgte opp denne rapporten ved å gi ut sine egne funn om forskjellige ondsinnede operasjoner som viste betydelige likheter med aktivitetene observert av sikkerhetsforskere. En F-SECURE-rapport avslørte detaljer om en storstilt, multinasjonal kampanje mot kryptolommebøker, mens Japans CERT JPCERT/CC delte sine funn etter en analyse av flere angrep mot japanske firmaer. Det siste stykket var en rapport fra NTT Security, et japansk cybersikkerhetsselskap, angående en kampanje som de sporet som CRYPTOMIMIC.

Etter å ha kombinert og sammenlignet den innsamlede informasjonen, hadde forskerne nok bevis til å tilskrive CryptoCore-operasjonene med middels til høy selvtillit til den nordkoreanske statsstøttede hackergruppen Lazarus. Dette bekreftet konklusjonene tidligere etablert av F-Secure.

CryptoCore-angrepsdetaljer

Angrepene ble først oppdaget tilbake i 2018 og involverte spyd-phishing-taktikker designet for å få fotfeste i den målrettede enheten. Hackerne antok forskjellige identiteter og tok kontakt med de utvalgte brukerne. Ofrene ble deretter lurt til å laste ned en eller flere ødelagte filer til datamaskinene sine. Mellom 2018 og 2020 ble 5 forskjellige angrepskampanjer bestemt til å være en del av CryptoCore-operasjonene. De kompromitterte enhetene inkluderte tre forskjellige kryptovalutabørser og flere japanske selskaper. De estimerte tapene som følge av hackene overstiger 200 millioner dollar.

Det ser ut til at nettkriminelle utvider omfanget av sine aktiviteter ved å inkludere israelske mål i deres nylige operasjoner. Skiftet kan være et tegn på omstilling i fokuset deres eller at hackerne går etter selskaper som matcher en bestemt økonomisk profil.