CryptoCore Criminal Group

Badacze Infosec uważają, że udało im się odkryć tożsamość grupy cyberprzestępców odpowiedzialnej za kilka wielomilionowych kampanii ataków, których celem są głównie giełdy kryptowalut. Grupa hakerów otrzymała nazwę CryptoCore od ekspertów ds. Bezpieczeństwa śledzących jej aktywność. We wstępnym raporcie ataki przypisywano hakerom z Europy Wschodniej, prawdopodobnie zlokalizowanym w krajach regionu, takich jak Ukraina, Rosja i Rumunia.

Wielu dostawców cyberbezpieczeństwa podążyło za tym raportem, publikując własne ustalenia dotyczące różnych złośliwych operacji, które wykazywały istotne podobieństwa do działań obserwowanych przez analityków bezpieczeństwa. Raport F-SECURE ujawnił szczegóły dotyczące wielonarodowej kampanii przeciwko portfelom kryptowalutowym, podczas gdy japoński CERT JPCERT / CC podzielił się swoimi odkryciami po analizie wielu ataków na japońskie firmy. Ostatnim artykułem był raport NTT Security, japońskiej firmy zajmującej się cyberbezpieczeństwem, dotyczący kampanii, którą śledzili jako CRYPTOMIMIC.

Po połączeniu i porównaniu zebranych informacji naukowcy mieli wystarczające dowody, aby przypisać operacje CryptoCore ze średnim lub wysokim poziomem zaufania sponsorowanej przez państwo północnokoreańskiej grupie hakerskiej Lazarus. Potwierdziło to wnioski sformułowane wcześniej przez firmę F-Secure.

Szczegóły ataku CryptoCore

Ataki zostały po raz pierwszy wykryte w 2018 roku i obejmowały taktyki phishingu spear-phishing, mające na celu zdobycie przyczółka w docelowej jednostce. Hakerzy przyjęli różne tożsamości i zainicjowali kontakt z wybranymi użytkownikami. Następnie ofiary nakłoniono do pobrania jednego lub więcej uszkodzonych plików na swoje komputery. W latach 2018-2020 5 różnych kampanii ataków zostało określonych jako część operacji CryptoCore. Do zainfekowanych podmiotów należały trzy różne giełdy kryptowalut i kilka japońskich firm. Szacowane straty w wyniku włamań przekraczają 200 milionów dolarów.

Wygląda na to, że cyberprzestępcy rozszerzają zakres swoich działań, włączając cele izraelskie do swoich ostatnich operacji. Zmiana może być oznaką ponownego dostosowania ich zainteresowania lub tego, że hakerzy ścigają firmy, które pasują do określonego profilu finansowego.

Popularne

Najczęściej oglądane

Ładowanie...