CryptoCore, un grupo que se cree que opera desde Europa del Este, ha conseguido infiltrarse en varios exchanges alrededor del mundo.
Un reporte compartido con la agencia de noticias ZDNet, ha revelado que un grupo organizado de hackers estaría operando desde Europa del Este y habría robado más de 200 millones de dólares de exchanges de criptomonedas en línea.
El líder del equipo de investigación, Or Blatt, explicó que se cree que el grupo ha estado activo desde 2018. ClearSky, una firma de ciberseguridad, ha estado haciendo seguimiento de las actividades llevadas a cabo por los piratas informáticos bajo el pseudónimo de CryptoCore.
Blatt explicó que su equipo ha conseguido vincular a CryptoCore con cinco robos informáticos exitosos; sin embargo, también han descubierto que el grupo estaría apuntando a otros 10-20 exchanges.
Las cinco víctimas confirmadas de los hackers están ubicadas en Japón, Estados Unidos y Medio Oriente. Debido a los acuerdos de confidencialidad, Blatt no pudo divulgar los nombres de estas víctimas.
ClearSky dice que varias operaciones CryptoCore han sido documentadas previamente en informes aislados que han identificado al grupo como «Dangerous Password» y «Leery Turtle [PDF]». La firma de seguridad israelí dice que las operaciones del grupo han sido más amplias de lo documentado.
Sin embargo, a pesar de que sus operaciones se han extendido por más de 3 años, ClearSky dijo que el grupo ha seguido usando las mismas tácticas de forma consistente, con variaciones mínimas en los ataques.
De acuerdo con ClearSky, todos sus ataques comienzan con una etapa de recaudación de información, donde obtienen todos los datos necesarios para atacar al personal de TI, administración y otros empleados relevantes de las plataformas de intercambio. Los primeros ataques de phishing o suplantación de identidad siempre comienzan contra cuentas personales en lugar de cuentas corporativas, ya que las primeras suelen ser menos seguras. Algunas cuentas también contienen información corporativa.
Desde ese punto, los operadores de CryptoCore comienzan a planificar el ataque a cuentas corporativas. Esto ocurre en un transcurso que va desde algunas horas a semanas.
«Es una cuestión de horas o semanas hasta que el correo electrónico de ‘spear-phishing’ se envía a una cuenta corporativa de un ejecutivo del exchange», dijo ClearSky.
Los esquemas de spear-phishing se suele llevar a cabo por piratas informáticos que se hacen pasar por empleados de alto rango de la organización bajo ataque, y que tengan alguna conexión con el empleado atacado.
El objetivo final del grupo es plantar un malware en el ordenador del gerente, el cual les permite ganar acceso a la contraseña de su cuenta. Una vez que la obtienen, los hackers utilizan estas contraseñas para acceder a cuentas y monederos, deshabilitando los sistemas de autenticación y comenzando la transferencia de fondos hacia un «monedero de almacenamiento en caliente».
CryptoCore se convierte así en el 2.° grupo organizado de ataque repetidos a exchanges criptográficos en los últimos 3 a 4 años.