Dal 2018 sono stati rubati 200 milioni di dollari da 5 diverse borse attraverso attacchi di pesca alla lancia

I punti salienti:

  • Un singolo gruppo di hacker ha presumibilmente rubato circa 200 milioni di dollari dalle borse, mirando principalmente alle borse del Giappone e degli Stati Uniti
  • Hanno utilizzato prevalentemente attacchi di pesca con la lancia
  • La frequenza degli attacchi si è ridotta durante la pandemia COVID-19

Secondo un rapporto della società di sicurezza informatica ClearSky, un singolo gruppo di hacker, che hanno soprannominato „CryptoCore“, è riuscito a rubare circa 200 milioni di dollari in valuta criptata da cinque diverse borse. ClearSky ritiene che il gruppo abbia sede nell’Europa dell’Est e che sia operativo dal 2018.

Scambi mirati dagli Stati Uniti e dal Giappone

Il gruppo Immediate Edge ha preso di mira gli scambi di crittografia, principalmente quelli con sede negli Stati Uniti e in Giappone. Anche se sono riusciti ad ottenere oltre 200 milioni di dollari di valuta criptata in poco più di due anni di attività, ClearSky ritiene che il gruppo „non sia estremamente avanzato dal punto di vista tecnico“, ma piuttosto „veloce, persistente ed efficace“.

Il modus operandi del gruppo è l’attacco di spear-phishing

L’obiettivo principale degli hacker è quello di accedere ai portafogli dei cambiavalute crittografati. ClearSky descrive il metodo che il gruppo ha utilizzato più comunemente:

„Per questo tipo di operazione, il gruppo inizia con un’ampia fase di ricognizione contro l’azienda, i suoi dirigenti, i funzionari e il personale informatico. Mentre il principale vettore di infiltrazione del gruppo per lo scambio è di solito attraverso il „spear-phishing“ contro la rete aziendale, gli account di posta elettronica personali dei dirigenti sono i primi ad essere presi di mira. L’infiltrazione negli account di posta elettronica personali è una fase facoltativa; tuttavia, è una questione di ore o settimane prima che l’e-mail di spear-phishing venga inviata all’account di posta elettronica aziendale del dirigente di uno scambio“.

Gli attacchi di spear-phishing prevedono solitamente l’invio di e-mail a un dirigente dell’organizzazione target da un account che sembra un dipendente di alto livello credibile della stessa organizzazione o di un’azienda partner di un target. Una volta che la rete aziendale è stata infiltrata, essi installano malware che consente loro l’accesso agli account di gestione delle password del dirigente, comprese le chiavi per i portafogli crittografati. Segue una fase di watch-and-wait, e se il target dovesse rimuovere l’autenticazione multi-fattore, il gruppo „immediatamente e responsabilmente“ prosciuga tutti i fondi.

L’attività degli hacker è diminuita nella prima metà del 2020

ClearSky ha osservato che l’attività degli hacker è diminuita nella prima metà del 2020, citando le limitazioni indotte dalla pandemia COVID-19 come una delle possibili ragioni.

Inoltre, non sono solo i dirigenti dei cambi di valuta criptati a essere presi di mira dagli attacchi di spear-phishing. Il metodo è comunemente usato dai truffatori di criptocambio e sta iniziando a diventare un problema enorme.

Recentemente è stata avviata un’enorme campagna di spear-phishing contro YouTubers. Inoltre, abbiamo riferito di un gruppo di truffatori che hanno dirottato gli account di YouTube con un gran numero di seguaci, cambiato le password, cancellato tutti i video e lanciato falsi flussi di dati in diretta con la criptovaluta falsa, in cui promettevano ai partecipanti di guadagnare il doppio dei soldi che inviavano.

I truffatori hanno spesso usato indirizzi vanitosi Bitcoin che fanno riferimento a indirizzi del calibro di Elon Musk e Changpeng Zhao per far sembrare più credibile il giveaway. Mentre lo schema sembra quasi troppo semplice, i truffatori sono riusciti a rastrellare oltre 2 milioni di dollari in soli due mesi.

Mentre gli scambi di crittografia sono un obiettivo molto più grande e dovrebbero avere protocolli di sicurezza ben definiti, recenti hacker mostrano che anche la sicurezza di alcune società può essere compromessa da semplici tecniche di „social hacking“.