Grupo hacker CryptoCore já roubou mais de US$ 200 milhões de diversas exchanges

Um grupo de hackers conhecido como CryptoCore seria responsável por ataques a diversas exchanges

Um grupo de hackers conhecido como CryptoCore seria responsável por ataques a diversas exchanges, roubando mais de US$ 200 milhões em criptomoedas desde 2018.

De acordo com a empresa de segurança cibernética ClearSky, o grupo de hackers também é conhecido como “Leery Turtle”. Eles se especializaram em campanhas de spear-phishing contra funcionários e executivos das exchanges.

Segundo o relatório do ClearSky:

“O objetivo principal dos assaltos da CryptoCore é obter acesso às carteiras das exchanges de criptomoedas, sejam elas carteiras corporativas gerais ou carteiras pertencentes aos funcionários da bolsa. Para esse tipo de operação, o grupo começa com uma extensa fase de reconhecimento contra a empresa, seus executivos e pessoal de TI. ”

De acordo com a empresa de segurança cibernética, o grupo tem como alvo principal as bolsas de valores nos Estados Unidos e no Japão. A origem do grupo ainda não está clara, mas a ClearSky acredita que está vinculada à região da Europa Oriental.

O CryptoCore supostamente conduz seus ataques de spear-phishing personificando um funcionário de alto escalão da organização de destino ou de uma organização com conexões com o alvo. 

A partir daí, inicia-se todo um processo de engenharia social e invasões cruzadas para ou simular a identidade do funcionário alvo, ou simplesmente usando métodos de invasão direta através de phishing e outros métodos ainda não completamente identificados.

Os métodos usados são inúmeros, mas ClearSky enumerou alguns que são possivelmente usados pelo grupo hacker.

attack-chain

Imagem: ClearSky

Depois de infectar o dispositivo, os atacantes usam o backdoor para tentar roubar as chaves das carteiras criptográficas normalmente armazenadas nos gerenciadores de senhas.

O ClearSky também suspeita que o grupo esteja usando mimikatz em computadores violados para coletar credenciais do Windows para o domínio da rede. Essas credenciais permitiriam aos invasores se espalharem lateralmente pela rede, à medida que procuravam e roubavam as chaves de carteiras de criptomoedas.

Depois que a autenticação multifatorial é removida das carteiras de câmbio, as criptomoeda são transferidas imediatamente para outras carteiras sob seu controle. 

O relatório completa dizendo que ainda não é possível identificar e nem responsabilizar criminalmente o grupo. 

LEIA MAIS

Você pode gostar...