CryptoCore Criminal Group

Infosec-onderzoekers geloven dat ze erin geslaagd zijn de identiteit te achterhalen van de cybercriminele groep die verantwoordelijk is voor verschillende miljoenenaanvalcampagnes die voornamelijk gericht zijn op cryptocurrency-uitwisselingen. De hackergroep kreeg de naam CryptoCore van de beveiligingsexperts die zijn activiteit volgden. In een eerste rapport werden de aanvallen toegeschreven aan Oost-Europese hackers, mogelijk gevestigd in landen uit de regio zoals Oekraïne, Rusland en Roemenië.

Meerdere cyberbeveiligingsleveranciers hebben dat rapport opgevolgd door hun eigen bevindingen vrij te geven over verschillende kwaadwillende bewerkingen die aanzienlijke overeenkomsten vertoonden met de activiteiten die werden waargenomen door beveiligingsonderzoekers. Een F-SECURE-rapport onthulde details over een grootschalige, multinationale campagne tegen crypto-wallets, terwijl de Japanse CERT JPCERT / CC hun bevindingen deelde na een analyse van meerdere aanvallen op Japanse bedrijven. Het laatste stuk was een rapport van NTT Security, een Japans cyberbeveiligingsbedrijf, over een campagne die ze volgden als CRYPTOMIMIC.

Na het combineren en vergelijken van de verzamelde informatie, hadden de onderzoekers voldoende bewijs om de CryptoCore-operaties met een gemiddeld tot hoog vertrouwen toe te schrijven aan de door de Noord-Koreaanse door de staat gesponsorde hackgroep Lazarus. Dit bevestigde de eerder door F-Secure getrokken conclusies.

CryptoCore-aanvalsdetails

De aanvallen werden voor het eerst ontdekt in 2018 en omvatten spear-phishing-tactieken die waren ontworpen om voet aan de grond te krijgen binnen de beoogde entiteit. De hackers namen verschillende identiteiten aan en legden contact met de gekozen gebruikers. De slachtoffers werden vervolgens misleid om een of meer beschadigde bestanden naar hun computers te downloaden. Tussen 2018 en 2020 werd vastgesteld dat 5 verschillende aanvalscampagnes deel zouden uitmaken van de CryptoCore-operaties. De gecompromitteerde entiteiten omvatten drie verschillende cryptocurrency-uitwisselingen en verschillende Japanse bedrijven. De geschatte verliezen als gevolg van de hacks bedragen meer dan $ 200 miljoen.

Het lijkt erop dat de cybercriminelen de reikwijdte van hun activiteiten uitbreiden door Israëlische doelen in hun recente operaties op te nemen. De verschuiving kan een teken zijn van bijstelling van hun focus of dat de hackers achter bedrijven aan gaan die passen bij een specifiek financieel profiel.