Группировка CryptoCore похитила более $200 млн у криптовалютных бирж

Группировка CryptoCore похитила более $200 млн у криптовалютных бирж

Группировка действует с 2018 года и уже успела осуществить пять кибератак.

image

Киберпреступная группировка CryptoCore (также известная как Crypto-gang, Dangerous Password и Leery Turtle) похитила около $200 млн у криптовалютных online-бирж в Японии, США и других странах. По словам руководителя исследовательской группы в компании ClearSky Ора Блатта (Or Blatt), группировка действует с 2018 года и предположительно осуществляет атаки из Восточной Европы, в частности, из Украины, России или Румынии. Преступники уже осуществили пять успешных атак и в настоящее время нацелены еще на 10-20 криптовалютных бирж.

Как отметили эксперты, некоторые вредоносные кампании CryptoCore ранее были зафиксированы в отдельных отчетах, в которых группировку идентифицировали под названиями Dangerous Password и Leery Turtle . Однако вредоносные кампании оказались куда более обширными и широко распространенными, чем предполагалось изначально.

Несмотря на тот факт, что группировка действует почти два с половиной года, злоумышленники все это время использовали одну и ту же тактику с небольшими изменениями в атаках. Все атаки начинаются с этапа сбора информации, во время которого преступники собирают необходимые данные о руководстве биржи, IT-персонале и других сотрудниках.

Первые фишинговые атаки всегда направлены на личные учетные записи электронной почты, а не на корпоративные, поскольку они чаще всего менее защищены и могут содержать деловую информацию. Тем не менее, операторы CryptoCore со временем переходят и на целевые бизнес-аккаунты.

«Атаки направленного фишинга (spear-phishing) обычно осуществляются путем выдачи себя за высокопоставленного сотрудника целевой компании или другой организации со связями с целевым сотрудником», — пояснили эксперты.

Конечная цель — внедрить вредоносное ПО на компьютер сотрудника или менеджера и получить доступ к учетной записи менеджера паролей. С помощью данных паролей преступники могут получить доступ к учетным записям и кошелькам, отключить системы двухфакторной аутентификации и осуществить перевод денежных средств.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.