Monat: August 2020

De Lazarus Groep heeft naam gemaakt door verschillende hacks en vele banden met de Noord-Koreaanse overheid. Nadat velen de groep hebben verbonden met geplande cyberaanvallen, lijkt de groep zich op te stellen voor zijn aanval op de crypto-industrie.

Het stelen van vertrouwelijke informatie van gebruikers

Deze week legde het Finse cybersecurity bedrijf FSecure in een rapport uit dat de Lazarus Group is begonnen met het gebruik van professionele jobportal LinkedIn om zich te richten op blokketen- en crypto-talenten. Volgens het rapport is de groep begonnen met het plaatsen van valse jobaanbiedingen op de site, in de hoop daar informatie van te stelen.

Het onderzoek van FSecure kwam nadat iemand die in de blokketensector werkte, een phishing-e-mail meldde die eruitzag als een legitieme vacature. De post bevatte een document met de titel „BlockVerify Group Job Description“. Eenmaal geopend, lanceerde het document onmiddellijk een malware-aanval.

Het cybersecurity-bedrijf slaagde erin de kenmerken van het document te traceren. Ze ontdekten dat het opvallend veel leek op de publiekelijk beschikbare code op het internetbeveiligingsportaal VirusTotal. Per gegevens over het virus is het vorig jaar gebouwd en heeft het meldingen gekregen van 37 antivirusprogramma’s.

Een vertegenwoordiger van FSecure legde uit dat het doel van de malware is om aanmeldingsgegevens van slachtoffers op te halen. De hackers zullen deze gegevens gebruiken om toegang te krijgen tot het netwerk van het slachtoffer en manieren te vinden om cryptokringen te stelen.

Het cybersecurity bedrijf deelde ook het sentiment dat de groep dit in opdracht van Noord-Korea had gedaan. Zoals het bedrijf heeft uitgelegd, heeft de afgezonderde natie haar aandacht gericht op bedrijven in en uit de Bitcoin Revolution.

Lazarus Group’s Banden met Noord-Korea

De uitbuitingen van Noord-Korea met het stelen van cryptokringen en het hacken van buitenlandse entiteiten zijn goed gedocumenteerd. Het Aziatische land heeft aanzienlijke economische sancties gekregen van de Verenigde Staten en minachting van de internationale gemeenschap. Het heeft zich gewend tot cyberaanvallen als middel om zijn wapenprogramma te financieren.

Ook de cijfers achter de daden van Noord-Korea zijn onthutsend. Vorig jaar meldde Reuters dat het land 2 miljard dollar had gekregen van het hacken van cryptocurrency deviezen en banken. De nieuwsbron kreeg de statistieken van het Noord-Koreaanse sanctiecomité van de Veiligheidsraad van de Verenigde Naties.

Wat de Lazarus Group betreft, zijn de hacking-activiteiten ook niet nieuw. In 2018 beweerde het cybersecurity-bedrijf Group-IB dat de hackinggroep verantwoordelijk was voor 65 procent van alle gestolen cryptocurrency’s tussen 2017 en 2018.

Hoewel de Noord-Koreaanse regering de banden met de hackinggroep heeft ontkend, zijn de relaties significant geweest. Deze week heeft het Amerikaanse leger een rapport uitgebracht waarin wordt beweerd dat Pyongyang een hackenetwerk heeft ontwikkeld met meer dan 6.000 leden. De hackers vormen een overheidsdepartement dat bekend staat als Bureau 121, dat toezicht houdt op vier grote cybercriminaliteitsgroepen.

Samen met de Lazarus Group, benadrukte het rapport ook de Bluenoroff Group – en organisatie die zich bezighoudt met financiële criminaliteit en meer dan 1.700 leden heeft. Alle leden voeren operaties uit vanuit Noord-Korea en zijn verspreid over verschillende andere landen – waaronder Rusland, India, China, Wit-Rusland en meer.

Jack Daniels dice di aver sventato con successo l’attacco, ma la banda del Ransomware REvil ha messo all’asta i dati rubati sulla darknet.

La banda Ransomware REvil, nota anche come Sodinokibi, sostiene di aver montato un attacco di successo contro il gigante statunitense del vino e degli alcolici, la Brown-Forman Corp – ma la società sostiene il contrario. L’azienda è il produttore ufficiale del whisky Jack Daniels.

Secondo il fornitore di servizi di sicurezza informatica, AppGate, il famoso produttore di bevande alcoliche è stato vittima di un attacco, ma si è rifiutato di pagare il riscatto richiesto da REvil. In risposta, gli hacker hanno messo in vendita i dati rubati nell’attacco per circa 1,5 milioni di dollari nella sezione „muro della vergogna“ del loro blog ufficiale darknet.

Tuttavia, la Brown-Forman Corp ha dichiarato a Infosecurity-Magazine in una dichiarazione di aver impedito con successo ai criminali informatici di criptare i suoi file. Ciò non significa necessariamente che l’affermazione della banda di aver compromesso la rete interna e rubato dati sensibili non sia corretta.

Attenzione all’acquirente

Parlando con il Cointelegraph, Felipe Duarte, un ricercatore sulla sicurezza di AppGate e autore dello studio, ha detto che non c’è modo di confermare se i dati presumibilmente rubati da REvil esistono davvero o „se si tratta solo di una minaccia“.

L’unica prova che la banda ha rivelato sono gli screenshot pubblicati sul loro sito darknet dei presunti dati rubati.

Duarte ha confermato che il gruppo REvil si è infiltrato anche in tre obiettivi internazionali nei settori del petrolio e del gas, delle assicurazioni e della consulenza, tra cui quest-worldwide.com in Australia, eurecat.com in Francia e National Western Life negli USA.

Duarte ha detto a Cointelegraph che REvil e altri gruppi di hacker hanno visto un significativo guadagno finanziario dal loro modello di prendere in giro alcuni dei dati rubati e vendere i „gioielli della corona“ al miglior offerente.

Aggiunge che se le aziende continueranno a pagare questi riscatti, questi gruppi saranno in grado di finanziare ed espandere le loro operazioni verso altri obiettivi in modo esponenzialmente più rapido.

I riscatti a Monero

Duarte ha detto che la maggior parte dei riscatti sta migrando da Bitcoin (BTC) ad altre crittocurrenze come Monero (XMR). „Sodinokibi ha usato Bitcoin System fino al 2019, quest’anno ha iniziato ad accettare solo Monero (XMR) per i pagamenti dei riscatti e le aste di dati rubati“, ha detto.

„Monero sembra essere la scelta principale per la maggior parte dei nuovi attacchi, in quanto è molto più difficile da tracciare rispetto al Bitcoin. Ci aspetteremmo di vedere i governi e gli altri che guardano al miglioramento della tracciabilità di questa valuta, come hanno fatto con il Bitcoin, mentre questi attacchi alle aziende di infrastrutture critiche crescono“.

Recentemente, REvil ha rubato oltre 800 GB di dati all’ADIF, il gestore delle infrastrutture ferroviarie statali spagnole, dopo un attacco riuscito ai loro sistemi.