Godaddy medewerkers worden gericht gebruikt voor aanvallen op cryptodiensten

Godaddy medewerkers worden gericht gebruikt voor aanvallen op cryptodiensten

By Benson Toti - Kort bericht
Bijgewerkt 06 July 2022
Een foto van het GoDaddy logo

Verschillende crypto-uitwisselingen met een GoDaddy domein meldden ongeautoriseerde aanpassingen

GoDaddy, de grootste domeinnaamregistrar ter wereld, probeert haar werknemers te beschermen nadat het bedrijf ontdekte dat ze het doelwit waren van en als onderdeel gebruikt werden voor aanvallen op verschillende cryptodiensten.

Uit rapporten blijkt dat de daders, die nog niet geïdentificeerd zijn, de afgelopen week e-mail- en webverkeer hebben omgeleid dat oorspronkelijk voor verschillende crypto handelsplatforms bestemd was. Het laatste incident dat hiermee verband houdt, was een aanval op 13 november op Liquid.com, een crypto handelsplatform.

Mike Kayamori, de Chief Executive Officer, beweerde in een beveiligingsincidentrapport dat “de domeinhostingprovider ‘GoDaddy’, die één van onze kern domeinnamen beheert, de controle over het account en het domein ten onrechte aan een kwaadwillende figuur overdroeg.”

Nadat dit incident werd opgemerkt, ontdekte een cryptomining bedrijf genaamd NiceHash eveneens dat een aantal van zijn instellingen voor zijn domeinregistratiegegevens zonder toestemming op GoDaddy waren gewijzigd. Dit betekende dat er voor een korte periode e-mail en webverkeer van de site omgeleid werd.

“In de vroege ochtenduren (UTC) van 18 november 2020 was het NiceHash domein niet bereikbaar. De domeinregistreerder GoDaddy had technische problemen en als gevolg van de ongeautoriseerde toegang tot de domeininstellingen werden de DNS gegevens van het NiceHash.com domein gewijzigd”, legt het bedrijf in een blogpost aan zijn gebruikers uit.

Hoewel er niets werd gestolen, werden er ongeoorloofde kosten in rekening gebracht vanaf een internetadres dat bij GoDaddy is geregistreerd. De aanvallers probeerden naar verluidt tevens op verschillende services van derden wachtwoord resetten te voltooien, waaronder Slack en Github.

Dit is niet de eerste keer dat GoDaddy met beveiligingsinbreuken worstelt. Eerder dit jaar kampte het bedrijf met een phishing scam waardoor de aanvallers in maart de controle kregen over meer dan een half dozijn domeinnamen, en er in mei 28.000 webhosting accounts gecompromitteerd werden.

Onderzoek dat door Farsight Security uitgevoerd werd, gaf aan dat verschillende andere cryptoplatforms zoals Bibox, Celsius Network en Wirex mogelijk ook het doelwit van dezelfde groep waren.

Een woordvoerder van GoDaddy verklaarde over de kwestie dat het beveiligingsteam van het bedrijf “de activiteiten van bedreigende figuren onderzocht en bevestigde, waaronder de social engineering van een gelimiteerd aantal GoDaddy medewerkers”.

De woordvoerder heeft echter niet gespecificeerd op welke wijze de werknemers gelokt werden om de ongeautoriseerde wijzigingen aan te brengen, en legde uit dat de zaak nog steeds onderzocht wordt.