Grupo hacker CryptoCore já roubou mais de US$ 200 milhões de diversas exchanges

Um grupo de hackers conhecido como CryptoCore seria responsável por ataques a diversas exchanges

Um grupo de hackers conhecido como CryptoCore seria responsável por ataques a diversas exchanges, roubando mais de US$ 200 milhões em criptomoedas desde 2018.

De acordo com a empresa de segurança cibernética ClearSky, o grupo de hackers também é conhecido como “Leery Turtle”. Eles se especializaram em campanhas de spear-phishing contra funcionários e executivos das exchanges.

• Hackers norte-coreanos lançam campanha global de phishing mirando crise de COVID-19

Segundo o relatório do ClearSky:

“O objetivo principal dos assaltos da CryptoCore é obter acesso às carteiras das exchanges de criptomoedas, sejam elas carteiras corporativas gerais ou carteiras pertencentes aos funcionários da bolsa. Para esse tipo de operação, o grupo começa com uma extensa fase de reconhecimento contra a empresa, seus executivos e pessoal de TI. ”

De acordo com a empresa de segurança cibernética, o grupo tem como alvo principal as bolsas de valores nos Estados Unidos e no Japão. A origem do grupo ainda não está clara, mas a ClearSky acredita que está vinculada à região da Europa Oriental.

O CryptoCore supostamente conduz seus ataques de spear-phishing personificando um funcionário de alto escalão da organização de destino ou de uma organização com conexões com o alvo. 

A partir daí, inicia-se todo um processo de engenharia social e invasões cruzadas para ou simular a identidade do funcionário alvo, ou simplesmente usando métodos de invasão direta através de phishing e outros métodos ainda não completamente identificados.

Os métodos usados são inúmeros, mas ClearSky enumerou alguns que são possivelmente usados pelo grupo hacker.

• F2Pool devolve ao remetente US$ 500.000 de taxa de transação ‘anormal’ na rede Ethereum

Imagem: ClearSky

Depois de infectar o dispositivo, os atacantes usam o backdoor para tentar roubar as chaves das carteiras criptográficas normalmente armazenadas nos gerenciadores de senhas.

• Ataque hacker para parcialmente produção da Avon no Brasil

O ClearSky também suspeita que o grupo esteja usando mimikatz em computadores violados para coletar credenciais do Windows para o domínio da rede. Essas credenciais permitiriam aos invasores se espalharem lateralmente pela rede, à medida que procuravam e roubavam as chaves de carteiras de criptomoedas.

Depois que a autenticação multifatorial é removida das carteiras de câmbio, as criptomoeda são transferidas imediatamente para outras carteiras sob seu controle. 

O relatório completa dizendo que ainda não é possível identificar e nem responsabilizar criminalmente o grupo. 

LEIA MAIS

• Subsidiária da Societe Generale lança uma opção de 100 milhões de euros na blockchain do Ethereum
• Estudo: 60% dos nós completos de Bitcoin ainda são vulneráveis a bug de inflação
• Espólio de Kleiman vai despejar US$ 2 bilhões em Bitcoin no mercado, de acordo com Craig Wright
• Manipulação? Queda relâmpago nos futuros de Bitcoin do CME vem para preencher o ‘buraco’ de US$ 8.500