Grupul criminal CryptoCore

Cercetătorii Infosec cred că au reușit să descopere identitatea grupului de criminali cibernetici responsabil pentru mai multe campanii de atacuri de mai multe milioane care vizează în principal schimburile de criptomonede. Grupul de hackeri a primit numele CryptoCore de către experții în securitate care îi urmăresc activitatea. Un raport inițial atribuia atacurile hackerilor din Europa de Est, posibil aflați în țări din regiune precum Ucraina, Rusia și România.

Mai mulți furnizori de securitate cibernetică au urmărit acest raport prin publicarea propriilor constatări cu privire la diferite operațiuni rău intenționate care prezentau asemănări semnificative cu activitățile observate de cercetătorii în domeniul securității. Un raport F-SECURE a dezvăluit detalii despre o campanie multinațională la scară largă împotriva portofelelor cripto, în timp ce CERT JPCERT/CC din Japonia și-a împărtășit constatările după o analiză a mai multor atacuri împotriva firmelor japoneze. Ultima bucată a fost un raport de la NTT Security, o companie japoneză de securitate cibernetică, referitor la o campanie pe care au urmărit-o ca CRYPTOMIMIC.

După ce au combinat și comparat informațiile adunate, cercetătorii au avut suficiente dovezi pentru a atribui operațiunile CryptoCore cu o încredere medie spre mare grupului de hacking sponsorizat de statul nord-coreean Lazarus. Aceasta a confirmat concluziile stabilite anterior de F-Secure.

Detalii despre atacul CryptoCore

Atacurile au fost detectate pentru prima dată în 2018 și au implicat tactici de spear-phishing menite să câștige un punct de sprijin în cadrul entității vizate. Hackerii și-au asumat identități diferite și au inițiat contactul cu utilizatorii aleși. Victimele au fost apoi păcălite să descarce unul sau mai multe fișiere corupte pe computerele lor. Între 2018 și 2020, 5 campanii de atac diferite au fost determinate să facă parte din operațiunile CryptoCore. Entitățile compromise au inclus trei schimburi diferite de criptomonede și mai multe companii japoneze. Pierderile estimate ca urmare a hackurilor depășesc 200 de milioane de dolari.

Se pare că infractorii cibernetici își extind domeniul de activitate prin includerea țintelor israeliene în operațiunile lor recente. Schimbarea poate fi un semn de reajustare a concentrării lor sau că hackerii merg după companii care se potrivesc unui anumit profil financiar.