Ripple leverer eksklusiv nordkoreansk cybertrusselintelligens til Crypto ISAC — herunder falske domæner, lommeadresser og kompromitteringsindikatorer — mens branchen kæmper med en række sofistikerede social engineering-angreb. Intelligensen omfatter udvidede profiler af mistænkte nordkoreanske IT-ansatte, herunder LinkedIn-konti, e-mails, lokationer og kontakttelefonnumre knyttet til bredere cyberkampagner. Handlingen sker uger efter at Drift-hacket viste, hvordan angribere kan opbygge tillid over flere måneder for at kompromittere multisignatur-lommer og omgå traditionelle sikkerhedsforanstaltninger.
Indholdet af trusselintelligensen
Ripples bidrag omfatter mere end rådata. Materialet omfatter profiler af mistænkte IT-ansatte med forbindelse til DPRK, som virksomheder kan krydstjekke under ansættelse og leverandørhåndtering. Crypto ISAC's administrerende direktør udtalte, at delt intelligens nu er gået fra valgfri til 'guldstandarden' for sikkerhed i kryptoindustrien. Organisationen advarer om, at trusselaktører, der ikke består baggrundstjek hos en virksomhed, ofte søger til tre andre den samme uge — hvilket gør delt data til en praktisk nødvendighed, ikke et lækkeri.
Drift-hackets casestudie
Drift-hacket var ikke en hurtig 'snup og løb'-aktion. Angribere brugte måneder på at opbygge tillid til målet, før de udnyttede kontrollen af multisignatur-lommer. Traditionelle perimetersikkerhedsforanstaltninger — firewalls, antivirus, standard endpoint-overvågning — opdagede ikke den lange svindel. Det er den type trussel, der drager størst profit fra delt intelligens: at opdage mønstre på tværs af virksomheder, som ingen enkelt virksomhed ville se alene.
Sådan fungerer delingen
Ripple, Coinbase og andre stiftende medlemmer af Crypto ISAC integrerer deres trusseldata gennem en ny API, der normaliserer indikatorer i både Web2- og Web3-miljøer til sikkerhedsoperationer. API'et gør det muligt for medlemsvirksomheder at hente udvidede trusselprofiler direkte ind i deres SIEM-systemer og incidentresponsarbejdsgange, hvilket reducerer tidsforskellen mellem opdagelse af en trusselaktør og blokering af dem på tværs af netværket.
Crypto ISAC forventer, at flere medlemmer vil tilslutte sig API'et i de kommende måneder. For nu er fokus på at få DPRK-dataene i hænderne på de virksomheder, der mest sandsynligt er mål — børser, kustodier og DeFi-protokoller. Drift-hackets metode viser, at angribere er tålmodige; branchens svar skal være lige så vedholdende.
