0
0
A indústria de blockchain perdeu dinheiro no ano passado, com o mercado global de criptomoedas caindo 63%. Mas os investidores não perderam dinheiro apenas com moedas incompletas e NFTs exagerados.
Em um relatório publicado hoje, pesquisadores da Proofpoint detalharam como os hackers norte-coreanos conseguiram desviar mais de US$ 1 bilhão em criptomoedas e outros ativos de blockchain no ano civil de 2022 (ainda mais impressionante considerando o quão deprimidos esses ativos se tornaram).
A Proofpoint atribuiu o sucesso do grupo TA444 e clusters relacionados – também chamados de APT38, Bluenoroff, BlackAlicanto, Stardust Chollima e Copernicium – à sua abordagem de inicialização.
As marcas registradas, disseram os pesquisadores, incluem “interação rápida, teste de produtos em tempo real e falhas futuras”. O grupo experimenta regularmente novos métodos de invasão e passou por diferentes e melhores malwares nos últimos anos.
“Embora não saibamos se o grupo tem mesas de pingue-pongue ou barris de algum IPA superestimado em seu espaço de trabalho”, escreveram os autores, “o TA444 reflete a cultura de startup em sua devoção ao dólar e à rotina”.
Ameaça em evolução do TA444
Há um elemento de “mova-se rápido e quebre as coisas” no TA444.
Nos últimos anos, o grupo repetiu várias vezes suas táticas de engenharia social. Às vezes, ele enviava mensagens privadas de contas sequestradas do LinkedIn de representantes de empresas legítimas, outras vezes abusava das ferramentas de marketing por e-mail para contornar os filtros de spam. Ele se envolveu com vítimas em inglês, mas também em japonês, polonês e espanhol.
Em um caso estranho, ele atacou por e-mail organizações nos setores de saúde, educação, finanças e governo dos EUA, usando barebones, iscas de phishing carregadas de tipografia. Na melhor das hipóteses, suas iscas faziam referência a marcas específicas do setor, às vezes prometendo aumentos salariais ou oportunidades de emprego, mas os esforços aqui eram principalmente rudimentares.
Onde outros grupos de crimes cibernéticos podem se concentrar em aperfeiçoar iscas sociais e mecanismos de entrega, os pesquisadores explicaram que a criação de malware é onde o TA444 realmente se distingue.
Sua coleção de backdoors pós-exploração inclui o ladrão de credenciais msoRAT, a estrutura de lavagem de dinheiro SWIFT DYEPACK e vários backdoors passivos e “ouvintes” virtuais para receber e processar dados de máquinas-alvo.
“Isso sugere que há um elemento de desenvolvimento de malware incorporado, ou pelo menos dedicado, ao lado dos operadores do TA444”, de acordo com o relatório.
Coreia do Norte: The OG Crypto Bro
Para complementar sua economia de comando desajeitada, o governo da Coreia do Norte há muito usa hackers para arrecadação de fundos, visando onde quer que haja uma oportunidade financeira. Isso inclui tudo, desde varejistas nos Estados Unidos até o sistema bancário SWIFT e, em um caso notório, o mundo inteiro .
Como as empresas de criptomoeda oferecem poucas proteções contra roubo, as transações geralmente são irreversíveis e as partes dessas transações são difíceis de identificar, o setor está repleto de crimes cibernéticos motivados financeiramente. A Coréia do Norte tem mergulhado nesse poço há anos , com campanhas contra startups , botnets que extraem moedas e campanhas de ransomware solicitando pagamentos criptográficos .
No ano passado, porém, a escala do roubo atingiu um novo nível. A empresa de pesquisa blockchain Chainalysis avaliou que o país roubou quase $ 400 milhões de dólares em criptomoedas e ativos blockchain em 2021. Em 2022, eles superaram esse número com um único ataque – contra uma empresa de jogos blockchain chamada SkyMavis – estimado em mais de $ 600 milhões no Tempo. Adicione outros ataques ao longo do ano civil e seu total chega a 10 dígitos .
“Embora possamos zombar de suas amplas campanhas e facilidade de agrupamento”, alertaram os pesquisadores, “o TA444 é um adversário astuto e capaz”.
O relatório da Proofpoint observou que o monitoramento da execução de MSHTA, VBS, Powershell e outras linguagens de script de novos processos ou arquivos pode ajudar a detectar a atividade do TA444. Também recomendou o uso de práticas recomendadas para uma abordagem de defesa em profundidade para combater invasões TA444: usar ferramentas de monitoramento de segurança de rede, práticas de registro robustas, uma boa solução de endpoint e um dispositivo de monitoramento de e-mail, além de treinar a força de trabalho para estar ciente de atividade de roubo decorrente de contato no WhatsApp ou LinkedIn.
“Além disso, dada a atividade de campanha de phishing de credenciais que observamos, habilitar a autenticação MFA em todos os serviços acessíveis externamente ajudaria a limitar o impacto de credenciais eventualmente roubadas”, disseram os pesquisadores por e-mail.
FONTE: DARK READING