CryptoCore Criminal Group

Infosec-Forscher glauben, dass es ihnen gelungen ist, die Identität der Cyberkriminellengruppe aufzudecken, die für mehrere Millionen Angriffskampagnen verantwortlich ist und die hauptsächlich auf den Austausch von Kryptowährungen abzielt. Die Hacker-Gruppe erhielt von den Sicherheitsexperten den Namen CryptoCore, um ihre Aktivitäten zu verfolgen. In einem ersten Bericht wurden die Angriffe osteuropäischen Hackern zugeschrieben, möglicherweise in Ländern der Region wie der Ukraine, Russland und Rumänien.

Mehrere Cybersicherheitsanbieter verfolgten diesen Bericht, indem sie ihre eigenen Erkenntnisse zu verschiedenen böswilligen Vorgängen veröffentlichten, die signifikante Ähnlichkeiten mit den von Sicherheitsforschern beobachteten Aktivitäten aufwiesen. Ein F-SECURE-Bericht enthüllte Details zu einer groß angelegten multinationalen Kampagne gegen Krypto-Geldbörsen, während das japanische CERT JPCERT / CC seine Ergebnisse nach einer Analyse mehrerer Angriffe gegen japanische Unternehmen mitteilte. Das letzte Stück war ein Bericht von NTT Security, einem japanischen Cybersicherheitsunternehmen, über eine Kampagne, die sie als CRYPTOMIMIC verfolgten.

Nach dem Kombinieren und Vergleichen der gesammelten Informationen hatten die Forscher genügend Beweise, um die CryptoCore-Operationen mit mittlerem bis hohem Vertrauen der staatlich geförderten nordkoreanischen Hacking-Gruppe Lazarus zuzuschreiben. Dies bestätigte die zuvor von F-Secure getroffenen Schlussfolgerungen.

CryptoCore-Angriffsdetails

Die Angriffe wurden erstmals im Jahr 2018 entdeckt und beinhalteten Spear-Phishing-Taktiken, um innerhalb der Zieleinheit Fuß zu fassen. Die Hacker nahmen unterschiedliche Identitäten an und nahmen Kontakt mit den ausgewählten Benutzern auf. Die Opfer wurden dann dazu verleitet, eine oder mehrere beschädigte Dateien auf ihren Computer herunterzuladen. Zwischen 2018 und 2020 wurden 5 verschiedene Angriffskampagnen als Teil der CryptoCore-Operationen festgelegt. Zu den gefährdeten Einheiten gehörten drei verschiedene Kryptowährungsbörsen und mehrere japanische Unternehmen. Die geschätzten Verluste infolge der Hacks übersteigen 200 Millionen US-Dollar.

Es scheint, dass die Cyberkriminellen den Umfang ihrer Aktivitäten erweitern, indem sie israelische Ziele in ihre jüngsten Operationen einbeziehen. Die Verschiebung kann ein Zeichen für eine Neuausrichtung ihres Fokus sein oder dafür, dass die Hacker Unternehmen suchen, die einem bestimmten Finanzprofil entsprechen.