De veiligheid team van Microsoft heeft bedreigingsactoren ontdekt die zich richten op crypto-startups en beweert dat Telegram-chat wordt gebruikt om toegang en vertrouwen van andere bedrijven te krijgen.
Ransomware is een kwaadaardig programma of malware die de toegang tot bestanden op een computer blokkeert totdat er een vergoeding aan de dader wordt betaald. Net als elk ander virus kan het zich tussen computers verspreiden en hele netwerken platleggen. Gedurende 30 jaar is ransomware getransformeerd van een marginale internetnieuwigheid tot een enorme illegale business.
Crypto speelt een rol
Nu hebben cryptocurrencies een grote rol gespeeld in de opkomst van ransomware. De anonimiteit van cryptocurrencies zoals Bitcoin heeft ransomware nog aantrekkelijker gemaakt voor cybercriminelen. Terwijl hackers cryptocurrency verplaatsen en uitwisselen door een doolhof van accounts en over talloze grenzen heen, kan het vrijwel onvindbaar worden. Het is niet eenvoudig om precies te weten hoeveel criminele activiteiten afhankelijk zijn van cryptocurrency.
Hackers voelen zich misschien zo veilig in hun anonimiteit dat ze websites en portals voor klantenservice opzetten om slachtoffers te helpen betalingen te verzenden. Ze werken heel erg als legitieme bedrijven.
Deze aanvallen kunnen verschillende vormen aannemen, waaronder illegale actoren die zich rechtstreeks bezighouden met een organisatie binnen een branche voor financieel gewin. Hoewel de meeste van deze hacks onopgemerkt blijven, ziet een klein deel het licht, zoals het geval is.
Bedreigende acteur DEV-0139
Het Microsoft Security Threat Intelligence-team benadrukte één aanval gericht op cryptocurrency-startups. In een verslag gedateerd 6 december, onderzocht het team een bedreigingsactor genaamd "DEV-0139".
De acteur deed zich voor als vertegenwoordiger van een andere crypto-investeringsmaatschappij en kreeg toegang via de Telegram-chat. Er werd zelfs om feedback gevraagd over de vergoedingenstructuur die wordt gebruikt door crypto-uitwisselingsplatforms. Nadat hij vertrouwen had gewonnen, stuurde de vermeende acteur een spreadsheet met de titel "OKX Binance & Huobi VIP-fee-vergelijking.xls." Het bevatte echter een kwaadaardige code die op afstand toegang kon krijgen tot het systeem van het slachtoffer.
Uitzoomend zag de hele aanval, zoals samengesteld door het beveiligingsteam van Microsoft, er als volgt uit:
Onnodig te zeggen dat de hacker diepgaande bekendheid had met en kennis had van cryptocurrency-bedrijven, zoals blijkt uit de bovenstaande grafiek. Daarnaast identificeerde Microsoft ook een andere soortgelijke aanval met een "vergelijkbaar mechanisme als 'logagent.exe' en met dezelfde payload."
De berucht De Noord-Koreaanse groep Lazarus was een van de toonaangevende namen die ransomware-aanvallen in hun voordeel gebruikte.
Over het algemeen moeten bedrijven en individuen, gezien de toename van cryptocurrency en het forfaitaire geld dat binnenstroomt, voorzichtig blijven voor dergelijke risico's.
Bron: https://beincrypto.com/microsoft-warns-scammers-target-crypto-startups-weaponized-excel-files/