Grupo criminal CryptoCore
Los investigadores de Infosec creen que han logrado descubrir la identidad del grupo ciberdelincuente responsable de varias campañas de ataques multimillonarios dirigidas principalmente a intercambios de criptomonedas. El grupo de hackers recibió el nombre de CryptoCore por parte de los expertos en seguridad que rastreaban su actividad. Un informe inicial atribuyó los ataques a piratas informáticos de Europa del Este, posiblemente ubicados en países de la región como Ucrania, Rusia y Rumania.
Varios proveedores de ciberseguridad dieron seguimiento a ese informe publicando sus propios hallazgos sobre diferentes operaciones maliciosas que exhibían similitudes significativas con las actividades observadas por los investigadores de seguridad. Un informe de F-SECURE reveló detalles sobre una campaña multinacional a gran escala contra las carteras criptográficas, mientras que CERT JPCERT / CC de Japón compartió sus hallazgos después de un análisis de múltiples ataques contra empresas japonesas. La última pieza fue un informe de NTT Security, una empresa japonesa de ciberseguridad, sobre una campaña que rastrearon como CRYPTOMIMIC.
Después de combinar y comparar la información recopilada, los investigadores tuvieron suficiente evidencia para atribuir las operaciones de CryptoCore con una confianza media a alta al grupo de piratería Lazarus, patrocinado por el estado de Corea del Norte. Esto confirmó las conclusiones previamente establecidas por F-Secure.
Detalles del ataque CryptoCore
Los ataques se detectaron por primera vez en 2018 e involucraron tácticas de spear-phishing diseñadas para afianzarse dentro de la entidad objetivo. Los piratas informáticos asumieron diferentes identidades e iniciaron el contacto con los usuarios elegidos. Luego, se engañó a las víctimas para que descargaran uno o más archivos corruptos en sus computadoras. Entre 2018 y 2020, se determinó que 5 campañas de ataque diferentes formaban parte de las operaciones de CryptoCore. Las entidades comprometidas incluyeron tres intercambios de criptomonedas diferentes y varias empresas japonesas. Las pérdidas estimadas como resultado de los ataques superan los 200 millones de dólares.
Parece que los ciberdelincuentes están ampliando el alcance de sus actividades al incluir objetivos israelíes en sus operaciones recientes. El cambio puede ser un signo de reajuste en su enfoque o que los piratas informáticos persiguen a empresas que coinciden con un perfil financiero específico.
