Ripple transmet des renseignements exclusifs sur les menaces cybernétiques nord-coréennes à Crypto ISAC — y compris des domaines frauduleux, des adresses de portefeuille et des indicateurs de compromission — alors que le secteur fait face à une série d'attaques de type ingénierie sociale sophistiquées. Ces renseignements comprennent des profils détaillés de travailleurs informatiques nord-coréens présumés, incluant leurs comptes LinkedIn, adresses e-mail, localisations et numéros de contact associés à des campagnes cybernétiques plus larges. Cette initiative intervient quelques semaines après l'attaque de Drift, qui a montré comment les attaquants peuvent établir la confiance sur plusieurs mois pour compromettre des portefeuilles multisignatures, contournant ainsi les mesures de sécurité traditionnelles.
À l'intérieur de la transmission de renseignements
La contribution de Ripple va au-delà des données brutes. Le matériel comprend des profils de travailleurs informatiques présumés liés à la RPDC que les entreprises peuvent croiser lors de leurs vérifications préalables à l'embauche et à la due diligence des fournisseurs. Le directeur exécutif de Crypto ISAC a déclaré que le partage de renseignements est passé d'optionnel à « standard or » en matière de sécurité dans l'industrie crypto. L'organisation met en garde que les acteurs de la menace qui échouent aux vérifications d'antécédents dans une entreprise postulent souvent à trois autres la même semaine — ce qui rend le partage de données une nécessité pratique, et non un simple avantage.
L'étude de cas Drift
L'attaque Drift n'était pas un coup rapide. Les attaquants ont passé des mois à établir la confiance avec la cible avant d'exploiter les contrôles des portefeuilles multisignatures. Les défenses périmétriques traditionnelles — pare-feux, antivirus, surveillance standard des endpoints — n'ont pas détecté cette escroquerie de longue haleine. C'est le type de menace qui bénéficie le plus du partage de renseignements : identifier des schémas à travers plusieurs entreprises que seule une entreprise ne pourrait pas voir.
Fonctionnement du partage
Ripple, Coinbase et d'autres membres fondateurs de Crypto ISAC intègrent leurs données de menaces via une nouvelle API qui normalise les indicateurs à la fois dans les environnements Web2 et Web3 pour les opérations de sécurité. L'API permet aux entreprises membres d'intégrer directement des profils de menaces enrichis dans leurs SIEM et leurs processus de réponse aux incidents, réduisant ainsi le délai entre la détection d'un acteur malveillant et son blocage au sein du réseau.
Crypto ISAC s'attend à ce que davantage de membres se connectent à l'API au cours des prochains mois. Pour l'instant, l'accent est mis sur la transmission des données RPDC aux entreprises les plus susceptibles d'être visées — les exchanges, les custodiens et les protocoles DeFi. Le manuel de l'attaque Drift montre que les attaquants sont patients ; la réponse de l'industrie doit être tout aussi persévérante.
