Groupe criminel CryptoCore

Les chercheurs d'Infosec pensent avoir réussi à découvrir l'identité du groupe de cybercriminels responsable de plusieurs campagnes d'attaque de plusieurs millions de personnes ciblant principalement des échanges de crypto-monnaie. Le groupe de hackers a reçu le nom de CryptoCore par les experts en sécurité qui suivent son activité. Un premier rapport attribuait les attaques à des pirates informatiques d'Europe de l'Est, probablement situés dans des pays de la région tels que l'Ukraine, la Russie et la Roumanie.

Plusieurs fournisseurs de cybersécurité ont suivi ce rapport en publiant leurs propres résultats concernant différentes opérations malveillantes qui présentaient des similitudes significatives avec les activités observées par les chercheurs en sécurité. Un rapport F-SECURE a révélé des détails sur une campagne multinationale à grande échelle contre les portefeuilles cryptographiques, tandis que le CERT JPCERT / CC du Japon a partagé ses conclusions après une analyse de plusieurs attaques contre des entreprises japonaises. Le dernier élément était un rapport de NTT Security, une société japonaise de cybersécurité, concernant une campagne qu'ils ont suivie comme CRYPTOMIMIC.

Après avoir combiné et comparé les informations recueillies, les chercheurs avaient suffisamment de preuves pour attribuer les opérations CryptoCore avec une confiance moyenne à élevée au groupe de piratage public nord-coréen Lazarus. Cela a confirmé les conclusions précédemment établies par F-Secure.

Détails de l'attaque CryptoCore

Les attaques ont été détectées pour la première fois en 2018 et impliquaient des tactiques de spear-phishing conçues pour prendre pied au sein de l'entité ciblée. Les hackers ont pris des identités différentes et ont pris contact avec les utilisateurs choisis. Les victimes ont ensuite été amenées à télécharger un ou plusieurs fichiers corrompus sur leurs ordinateurs. Entre 2018 et 2020, 5 campagnes d'attaque différentes ont été déterminées comme faisant partie des opérations CryptoCore. Les entités compromises comprenaient trois échanges de crypto-monnaie différents et plusieurs sociétés japonaises. Les pertes estimées à la suite des piratages dépassent 200 millions de dollars.

Il semble que les cybercriminels élargissent la portée de leurs activités en incluant des cibles israéliennes dans leurs récentes opérations. Ce changement peut être le signe d'un réajustement de leur orientation ou que les pirates s'en prennent aux entreprises qui correspondent à un profil financier spécifique.