Hackers hebben via spear-phishing heel gericht meer dan 200 miljoen dollar van crypto uitwisselingen gestolen

CryptoCore, waarvan aangenomen wordt dat het vanuit Oost-Europa opereert, is erin geslaagd om zich wereldwijd op diverse crypto uitwisselingen te infiltreren

Een rapport, dat met nieuws website ZDnet gedeeld werd, heeft onthuld dat een georganiseerde groep hackers, die naar verluidt vanuit Oost-Europa opereert, meer dan 200 miljoen dollar van online cryptogeld uitwisselingen heeft gestolen.

Or Blatt, de onderzoeksteamleider van ClearSky, zei dat de groep sinds 2018 actief is. ClearSky, een cybersecurity bedrijf, volgt de activiteiten van de hackers die onder het pseudoniem CryptoCore uitgevoerd wordt.

Blatt legde uit dat hun team CryptoCore aan vijf succesvolle hacks had weten te koppelen; ze hebben daarnaast ook gezien dat de groep tevens 10 tot 20 cryptogeld uitwisselingen heeft getarget.

De vijf bevestigde slachtoffers van de hackers bevinden zich in Japan, de VS en het Midden-Oosten. Vanwege geheimhoudingsovereenkomsten kon Blatt de namen van deze slachtoffers niet bekendmaken.

ClearSky zegt dat sommige van CryptoCore’s operaties eerder in afzonderlijke rapporten gedocumenteerd zijn, die daarin de groep geïdentificeerd hebben als “Dangerous Password” en “Leery Turtle [PDF]”. De Israëlische veiligheidsfirma zegt dat de activiteiten van de groep meer verspreid dan gedocumenteerd zijn.

Ondanks dat ClearSky al bijna drie jaar als bedrijf werkzaam is, zegt het dat de groep zich consistent vasthoudt aan dezelfde tactiek, met minimale variatie in hun aanvallen.

Volgens ClearSky beginnen al hun aanvallen met een informatieverzameling fase, waarin ze de nodige details verzamelen om het IT-personeel, het management en andere relevante werknemers van een uitwisseling te targeten. De eerste phishing aanvallen beginnen altijd tegen persoonlijke e-mailaccounts in plaats van tegen zakelijke accounts, omdat deze waarschijnlijk minder veilig zijn. Sommige accounts bevatten eveneens bedrijfsinformatie.

Vanaf hier maken de CryptoCore leden uiteindelijk toch de beweging om alsook zakelijke accounts te targeten. Dit duurt enkele uren tot weken.

“Het is een kwestie van uren tot weken alvorens de spear phishing e-mail naar een zakelijk e-mailaccount van de manager van een exchange verzonden wordt”, zei ClearSky.

Spear-phishing wordt meestal uitgevoerd door hackers die zich voordoen als een hooggeplaatste werknemer van de doelorganisatie met connecties naar de beoogde werknemer.

Het einddoel van de groep is het installeren van malware op de computer van een werknemer of manager, waardoor deze toegang kunnen krijgen tot een wachtwoord beheerdersaccount. Vanaf hier gebruiken de hackers deze wachtwoorden om toegang te krijgen tot accounts en wallets, authenticatie om systemen uit te schakelen en vanuit de hot wallets van de uitwisseling geld over te maken.

CryptoCore is momenteel de tweede bekende georganiseerde groep die zich de afgelopen drie tot vier jaar herhaaldelijk op crypto uitwisselingen heeft gericht.