CryptoCore, che opererebbe fuori dall’Europa dell’Est, è riuscito a infiltrarsi in diversi exchange di criptovalute in tutto il mondo
Un report condiviso con il magazine online, ZDnet, ha rivelato che un gruppo di hacker organizzato starebbe operando fuori dall’Europa dell’Est e che avrebbe rubato oltre 200 milioni di dollari dagli exchange di criptovalute online.
Il responsabile del gruppo di ricerca di ClearSky, Or Blatt, ha dichiarato che il gruppo criminale è attivo dal 2018. ClearSky, una società di sicurezza informatica, ha seguito le attività degli hacker condotte sotto il nome di battaglia CryptoCore.
Blatt ha spiegato che il loro team è riuscito a collegare CryptoCore a 5 hack avvenuti con successo; ma hanno anche visto il gruppo puntare ad altri 10 o 20 exchange di criptomonete.
Le 5 vittime confermate degli hacker si trovano in Giappone, Stati Uniti e in Medio Oriente. A causa di accordi di non divulgazione, Blatt non ha potuto rivelare i nomi di tali exchange.
ClearSky afferma che alcune delle operazioni di CryptoCore sono state precedentemente documentate in singoli report che hanno identificato il gruppo come “Dangerous Password” e “Leery Turtle [PDF]”. La società di sicurezza israeliana dice che le operazioni del gruppo sono state molte più di quelle documentate.
Tuttavia, nonostante sia attivo da almeno tre anni, ClearSky afferma che il gruppo ha continuato a utilizzare le stesse tattiche in modo coerente, con variazioni minime nei vari attacchi.
Secondo ClearSky, tutti i loro attacchi informatici iniziano con una fase di raccolta delle informazioni, in cui raccolgono i dettagli necessari per prendere di mira il personale IT di un exchange, i dirigenti e gli altri dipendenti della società. I primi attacchi di phishing partono sempre contro gli account di posta elettronica personali e non contro quelli aziendali, perché i primi sono probabilmente meno sicuri. Alcuni account contengono anche informazioni aziendali.
Partendo da qui gli hacker di CryptoCore si spostano poi verso i conti aziendali. Questa attività richiede da alcune ore a settimane di lavoro.
“È questione di ore o settimane prima che l’email di phishing venga inviata a un account di posta elettronica aziendale del dirigente di un exchange”, ha riferito ClearSky.
Lo spear-phishing di solito viene effettuato da hacker che si mascherano da dipendenti di alto livello dell’organizzazione presa di mira per relazionarsi con il dipendente target.
L’obiettivo finale del gruppo è quello di piantare malware sul computer di un dipendente o di un manager, che consentirà loro di accedere a un account di gestione password. Prendendo queste password gli hacker le usano per accedere ai conti e ai portafogli, disattivare i sistemi di autenticazione e iniziare il trasferimento di fondi dai portafogli dell’exchange.
CryptoCore è diventato il secondo gruppo organizzato conosciuto, che negli ultimi tre o quattro anni si è occupato ripetutamente di exchange di criptovalute.