Un grupo cibernético aún no identificado de Europa oriental ha robado 70 millones de dólares de los intercambios de criptomonedas israelíes desde mediados de 2018 hasta el presente, reveló Clearsky el miércoles en un informe obtenido por The Jerusalén Post.
Además, el informe dice que la mafia cibernética criptográfica, que la empresa de ciberseguridad Clearsky apoda “CryptoCore”, ha robado en todo el mundo alrededor de 200 millones de dólares en intercambios de criptomonedas, centrándose especialmente en los EE.UU. y Japón.
Según el informe, Clearsky “ha estado siguiendo las campañas del grupo CryptoCore durante casi dos años, sin tener una comprensión concluyente del origen de los operadores; sin embargo, evaluamos con un nivel medio de certeza que” el grupo “tiene vínculos con la región de Europa Oriental, Ucrania o Rusia”.
Clearsky señaló que, “los intercambios de criptomonedasse han convertido en objetivos de constantes ataques… Actores amenazantes de todo tipo tratan de infiltrarse en las redes corporativas para el reconocimiento, el despliegue de rescates, y simplemente para robar dinero de esos intercambios, específicamente de sus carteras ‘calientes’ (es decir, activas, conectadas)”.
El informe dice que los intercambios de criptomonedasse perciben como menos seguros de ser hackeados que los bancos en general y el sistema SWIFT.
Además, Clearsky explicó que aunque “al principio parece más fácil rastrear el dinero robado a través de la cadena de bloqueo, la identificación y atribución de carteras a entidades e individuos es generalmente más difícil”.
A continuación, el informe nombró los tres principales ataques contra Coinbase, Upbit y Binance, que fue hackeado al menos dos veces y se filtró su información de identificación secreta.
Discutió los ataques llevados a cabo por el grupo norcoreano “Lazarus” (alias Hidden Cobra) y la explotación de vulnerabilidades en la plataforma Ethereum, un competidor de criptocorriente de Bitcoin, en el ataque finalmente fallido contra Uniswap y Lend.me2.
Al explicar el método de operación de CryptoCore, el informe decía que “el grupo comienza con una amplia fase de reconocimiento contra la empresa, sus ejecutivos, funcionarios y personal de TI [Tecnología de la Información]”.
Mientras que el método clave de infiltración del grupo “es generalmente a través de la estafa del phishing contra la red corporativa, las cuentas de correo electrónico personales de los ejecutivos son las primeras en ser atacadas”.
Luego, “es cuestión de horas o semanas hasta que el correo electrónico de spear-phishing se envía a una cuenta de correo electrónico corporativa de un ejecutivo de la bolsa. El spear-phishing se lleva a cabo típicamente haciéndose pasar por un empleado de alto rango, ya sea de la organización objetivo o de otra organización (por ejemplo, un consejo asesor) con conexiones al empleado objetivo”.
Después de afianzarse en el sistema, “el objetivo principal del grupo es obtener acceso a la cuenta del administrador de contraseñas de la víctima. Aquí es donde se almacenan las claves de las criptas y otros activos valiosos, que serán útiles en las etapas de movimiento lateral”.
Además, obtener ese acceso significa que “el grupo permanecerá sin ser detectado y mantendrá su persistencia hasta que se elimine la autenticación multifactorial de las carteras de intercambio”, de modo que pueda robar fondos.
Curiosamente, Clearsky dijo que a pesar de la actividad constante desde mediados de 2018 hasta 2020, “Su actividad ha retrocedido en la primera mitad de 2020, una posible razón son las limitaciones inducidas por la pandemia COVID-19, pero no se detuvo por completo”.
Un informe de agosto de 2019 de Clearsky también describió algunas de estas tendencias, incluyendo el robo en los intercambios israelíes, pero no con el mismo alcance.
Los informes incluyen ejemplos de correos electrónicos hebreos hechos a medida para engañar a los israelíes.
El director general de Clearsky, Boaz Dolev, dijo que “aunque el grupo no tiene capacidades avanzadas, actúa sistemáticamente, durante un período prolongado e integrado con inteligencia pre-desarrollada”, lo que le ha permitido robar cantidades masivas de fondos en Israel y en todo el mundo.
Según Clearsky, la empresa aporta soluciones cibernéticas de primera línea a empresas de primer nivel en todo el mundo, y su equipo de inteligencia cibernética se dedica a detectar las amenazas y los actores de las amenazas, especialmente las dirigidas a los gobiernos, las finanzas, las infraestructuras críticas y las empresas farmacéuticas.