A Ripple agora está compartilhando sua inteligência interna sobre ameaças contra hackers norte-coreanos com a indústria de criptografia, disse a empresa na segunda-feira, em um movimento que reformula a forma como o setor está respondendo a uma mudança na metodologia de ataque da RPDC.
O hack do Drift não foi um hack como a maioria das pessoas pensa.
Ninguém encontrou um bug ou explorou um contrato inteligente. Operativos norte-coreanos passaram meses fazendo amizade com os colaboradores do Drift, colocaram malware em suas máquinas e saíram com as chaves. No momento em que os US$ 285 milhões foram movimentados, todos os sistemas que deveriam detectar um hack não tinham nada para sinalizar.
Essa é a versão dos eventos que Ripple e Crypto ISAC, o grupo de compartilhamento de ameaças da indústria de criptografia, apresentaram na segunda-feira junto com a notícia de que Ripple agora está compartilhando seus dados internos sobre atores de ameaças norte-coreanos com o resto do setor.
A onda de mais hacks de DeFi em 2022-24 centrou-se na exploração de código, com os invasores encontrando vulnerabilidades de contratos inteligentes e esgotando protocolos em minutos.
Mas à medida que a segurança se torna mais rigorosa, o modus operandi muda da tecnologia para as pessoas. Operadores desonestos se candidatam a empregos em empresas de criptografia, passam por verificações de antecedentes, aparecem em ligações da Zoom e constroem confiança por meses. Em seguida, eles implantam ataques que nenhuma ferramenta de segurança tradicional foi desenvolvida para detectar, porque o invasor já está lá dentro.
A Ripple agora está alimentando o Crypto ISAC com o tipo de dados de perfil que tornam esse padrão legível em todas as empresas. Perfis do LinkedIn, endereços de e-mail, locais, números de contato – ou o tecido conjuntivo que permite que uma equipe de segurança reconheça o candidato que acabou de entrevistar como o mesmo agente que falhou nas verificações de antecedentes em três outras empresas na semana passada.
“A postura de segurança mais forte em criptografia é compartilhada”, postou Ripple no X. “Um ator de ameaça que falha na verificação de antecedentes em uma empresa se candidatará a mais três na mesma semana. Sem inteligência compartilhada, toda empresa começa do zero.”
O alcance do Grupo Lazarus no setor de criptografia é agora visível o suficiente para que ele tenha começado a remodelar os processos judiciais, bem como os de segurança.
Na segunda-feira, um advogado que representa vítimas do terrorismo norte-coreano entregou avisos de restrição ao Arbitrum DAO, argumentando que os 30.765 ETH congelados após a exploração da ponte Kelp em abril são propriedade norte-coreana sob a lei de aplicação da lei dos EUA.
Desde então, a empresa de empréstimos Aave contestou esse pedido em apoio à Arbitrum, argumentando que um “ladrão não obtém a propriedade legal de propriedade roubada simplesmente tomando-a”.
A violação do Kelp drenou US$ 292 milhões em Ether (ETH) e também foi atribuída publicamente aos agentes do Grupo Lazarus, somando as perdas de Drift e Kelp de abril em mais de meio bilhão de dólares vinculados a um único ator estatal no período de um único mês.
Se a partilha de informações a nível da indústria realmente atrasa as campanhas é uma questão em aberto. Os mesmos agentes podem já estar na próxima rodada de entrevistas em algum lugar.
Fontecoindesk
