Недавно обнаруженная группа всего за два года похитила свыше 200 миллионов долларов из криптовалютных бирж.
Атаки киберпреступной организации CryptoCore обнаружила охранная фирма ClearSky Cyber Security. Компания недавно опубликовала доклад, в котором говорится, что группа была активна, по крайней мере, с мая 2018 года и в основном промышляла в Соединенных Штатах и Японии.
CryptoCore, похоже, достигли головокружительных высот финансового успеха, несмотря на то, что используют простых методов атаки.
Исследователи пишут:
Эта группа не очень технически продвинута, но, тем не менее, она работает слажено, быстро и эффективной.
Хакеры из CryptoCore прославились тем, что накопили нечестным путем около 70 миллионов долларов США на биржах. По нашим оценкам, группе удалось заработать более 200 миллионов долларов США за два года.
CryptoCore исключительно нацелен на криптовалютные биржи и компании, работающие с ними. Основная цель группы – получить доступ к цифровым кошелькам, связанным с биржами криптовалют, включая корпоративные кошельки и кошельки, принадлежащие сотрудникам бирж. Исследователи говорят, что доступ получен путем фишинга.
«Ключевой вектор проникновения группы на биржу, как правило, заключается в фишинге против корпоративной сети», – пишут исследователи, добавляя, что «личные учетные записи электронной почты руководителей являются первыми жертвами».
Поддельный фишинг обычно выполняется путем выдачи себя за высокопоставленного сотрудника из какой-либо организации, имеющей связи с сотрудником-жертвой.
В фишинговом электронном письме содержится вредоносная ссылка Bitly, которая идет в папку на Google Диске, но фактически отправляет жертву на целевую страницу, контролируемую преступной группой.
Хакеры получают доступ к учетной записи менеджера, к паролям жертвы и крадут ключи от крипто-кошелька.
ClearSky отслеживал хакеров в течение двух лет, наблюдая за постоянным потоком активности, хотя атаки в первой половине 2020 года замедлились, и исследователи приписали затишье связанное с пандемией COVID-19.
Несмотря на длительное отслеживание CryptoCore, исследователи не смогли точно определить происхождение группы.
Мы предполагаем, что субъект угрозы имеет связи с восточноевропейским регионом, Украиной, Россией или Румынией.
