Exchanges
O grupo de hackers CryptoCore roubou mais de US$ 200 milhões de diversas exchanges
Um grupo de hackers conhecido como CryptoCore supostamente fez vários assaltos em diversas exchanges, roubando mais de US$ 200 milhões em criptomoedas desde 2018. De acordo com a empresa de segurança cibernética ClearSky, o grupo de hackers também é conhecido como “Senha perigosa” e “Leery Turtle”. Eles se especializaram em campanhas de spear-phishing contra funcionários e executivos das exchanges.
O último ataque conhecido perpetrado pelo grupo Cryptocore foi contra uma exchange israelense que teve US$ 70 milhões roubados, segundo o Jerusalem Post.
Segundo o relatório do ClearSky:
“O objetivo principal dos assaltos da CryptoCore é obter acesso às carteiras das bolsas de criptomoedas, sejam elas carteiras corporativas gerais ou carteiras pertencentes aos funcionários da bolsa. Para esse tipo de operação, o grupo começa com uma extensa fase de reconhecimento contra a empresa, seus executivos e pessoal de TI. ”
De acordo com a empresa de segurança cibernética, o grupo tem como alvo principal as bolsas de valores nos Estados Unidos e no Japão. A origem do grupo ainda não está clara, mas a ClearSky acredita que está vinculada à região da Europa Oriental.
O CryptoCore supostamente conduz seus ataques de spear-phishing personificando um funcionário de alto escalão da organização de destino ou de uma organização com conexões com o alvo, a partir daí inicia-se todo um processo de engenharia social e invasões cruzadas para ou simular a identidade do funcionário alvo, ou simplesmente usando métodos de invasão direta através de phishing e outros métodos ainda não completamente identificados.
Os métodos usados são inúmeros, mas ClearSky enumerou alguns que são possivelmente usados pelo grupo hacker.
Depois que o grupo tiver infectado a vítima com sucesso, os atacantes usarão o backdoor para tentar roubar as chaves das carteiras criptográficas normalmente armazenadas nos gerenciadores de senhas.
O ClearSky também suspeita que o grupo esteja usando mimikatz em computadores violados para coletar credenciais do Windows para o domínio da rede. Essas credenciais permitiriam aos invasores se espalharem lateralmente pela rede, à medida que procuravam e roubavam as chaves de carteiras de criptomoedas.
Depois que a autenticação multifatorial é removida das carteiras de câmbio, as criptomoeda são transferidas imediatamente para as carteiras sob seu controle.
Ainda não é possível identificar e nem responsabilizar criminalmente o grupo. Portanto, eles seguem livres e buscando novos alvos.
Empreendedor, Cientista de Dados e cryptopesquisador.