Een hackgroep die bekend staat als CryptoCore heeft naar verluidt sinds 2018 meer dan $200 miljoen aan cryptocurrency gestolen van beurzen dankzij een reeks succesvolle phishing-aanvallen. Dit volgens een onderzoek van cybersecuritybedrijf ClearSky en uitgeschreven door een website genaamd Bleeping Computer.
Volgens het onderzoek heet de hackgroep CryptoCore, maar staan ze ook bekend als “Dangerous Password” of “Leery Turtle”, en richt het zich op medewerkers en leidinggevenden van cryptocurrency-beurzen met spear-phishing-campagnes.
Deze campagnes houden in dat de hackers zich voordoen als hooggeplaatste werknemers van een beurs, of een organisatie die er nauw mee verbonden is, om toegang te krijgen tot het wachtwoordbeheeraccount van hun slachtoffers. Van daaruit kunnen de hackers toegang krijgen tot cryptocurrency-wallets en andere waardevolle activa die zij gebruiken om andere slachtoffers aan te vallen.
Het rapport van ClearSky luidt:
“Het belangrijkste doel van de aanvallen van CryptoCore is om toegang te krijgen tot wallets van cryptocurrency-beurzen, of het nu gaat om algemene bedrijfswallets of wallets van werknemers van de beurs. Voor dit soort operaties begint de groep met een uitgebreide verkenningsfase tegen het bedrijf, zijn leidinggevenden, officieren en IT-personeel.”
De CryptoCore-hackgroep richt zich naar verluidt voornamelijk op beurzen in de Verenigde Staten en Japan, en heeft dankzij zijn aanvallen voor meer dan $200 miljoen aan cryptocurrency gestolen. De aanvallen worden aangepast aan het target, met behulp van domeinnamen om zich voor te doen als specifieke aangesloten organisaties en e-mails die zich voor doen als deze organisaties of leidinggevenden van de beurs zelf.
CryptoCore infecteert vervolgens slachtoffers door hen beveiligde bestanden te sturen met vermeende wachtwoorden, die bij het uitvoeren malware op hun computers installeert. Na het zoeken naar sleutels in wachtwoordmanagers, infecteren ze vervolgens het netwerk van de beurs om daar te zoeken. Zodra ze toegang hebben, worden de fondsen overgemaakt naar portemonnees waar zij de controle over hebben.
Hoewel het niet duidelijk is waar CryptoCore is gevestigd, gelooft ClearSky dat ze zich ergens in Oost-Europa bevinden.
