0
0
Um grupo de hackers conhecido como CryptoCore seria responsável por ataques a diversas exchanges, roubando mais de US$ 200 milhões em criptomoedas desde 2018.
De acordo com a empresa de segurança cibernética ClearSky, o grupo de hackers também é conhecido como “Leery Turtle”. Eles se especializaram em campanhas de spear-phishing contra funcionários e executivos das exchanges.
Segundo o relatório do ClearSky:
“O objetivo principal dos assaltos da CryptoCore é obter acesso às carteiras das exchanges de criptomoedas, sejam elas carteiras corporativas gerais ou carteiras pertencentes aos funcionários da bolsa. Para esse tipo de operação, o grupo começa com uma extensa fase de reconhecimento contra a empresa, seus executivos e pessoal de TI. ”
De acordo com a empresa de segurança cibernética, o grupo tem como alvo principal as bolsas de valores nos Estados Unidos e no Japão. A origem do grupo ainda não está clara, mas a ClearSky acredita que está vinculada à região da Europa Oriental.
O CryptoCore supostamente conduz seus ataques de spear-phishing personificando um funcionário de alto escalão da organização de destino ou de uma organização com conexões com o alvo.
A partir daí, inicia-se todo um processo de engenharia social e invasões cruzadas para ou simular a identidade do funcionário alvo, ou simplesmente usando métodos de invasão direta através de phishing e outros métodos ainda não completamente identificados.
Os métodos usados são inúmeros, mas ClearSky enumerou alguns que são possivelmente usados pelo grupo hacker.
Imagem: ClearSky
Depois de infectar o dispositivo, os atacantes usam o backdoor para tentar roubar as chaves das carteiras criptográficas normalmente armazenadas nos gerenciadores de senhas.
O ClearSky também suspeita que o grupo esteja usando mimikatz em computadores violados para coletar credenciais do Windows para o domínio da rede. Essas credenciais permitiriam aos invasores se espalharem lateralmente pela rede, à medida que procuravam e roubavam as chaves de carteiras de criptomoedas.
Depois que a autenticação multifatorial é removida das carteiras de câmbio, as criptomoeda são transferidas imediatamente para outras carteiras sob seu controle.
O relatório completa dizendo que ainda não é possível identificar e nem responsabilizar criminalmente o grupo.
FONTE: COINTELEGRAPH