Ripple draagt exclusieve Noord-Koreaanse cyberdreigingsinformatie over aan de Crypto ISAC — waaronder frauduleuze domeinen, walletadressen en indicatoren van compromittering — terwijl de sector worstelt met een reeks geavanceerde social engineering-aanvallen. De informatie omvat verrijkte profielen van verdachte Noord-Koreaanse IT-werknemers, compleet met LinkedIn-accounts, e-mails, locaties en contactnummers die verband houden met bredere cybercampagnes. De stap komt weken nadat de Drift-hack aantoonde hoe aanvallers maandenlang vertrouwen kunnen opbouwen om multisig-wallets te compromitteren, waarbij traditionele beveiligingsmaatregelen worden omzeild.
Binnen de informatie-uitwisseling
De bijdrage van Ripple omvat meer dan ruwe data. Het materiaal bevat profielen van vermoedelijke aan DPRK gelinkte IT-werknemers die bedrijven kunnen controleren tijdens wervings- en due diligence-processen bij leveranciers. De uitvoerend directeur van Crypto ISAC stelde dat gedeelde informatie is verschoven van optioneel naar de 'gouden standaard' voor beveiliging in de cryptosector. De organisatie waarschuwt dat dreigingsactoren die bij het ene bedrijf door de mand vallen bij achtergrondcontroles, vaak in dezelfde week solliciteren bij drie andere — waardoor gedeelde data een praktische noodzaak wordt, geen luxe.
De Drift-casus
De Drift-hack was geen snelle kraak. Aanvallers besteedden maanden aan het opbouwen van vertrouwen met het doelwit voordat ze de multisig-walletcontroles misbruikten. Traditionele perimeterverdediging — firewalls, antivirus, standaard endpointbewaking — hadden de langdurige oplichting niet in de gaten. Dat is het soort dreiging dat het meest profiteert van gedeelde intelligentie: het herkennen van patronen over bedrijven heen die geen enkel bedrijf alleen zou zien.
Hoe het delen werkt
Ripple, Coinbase en andere oprichtende leden van Crypto ISAC integreren hun dreigingsdata via een nieuwe API die indicatoren normaliseert voor zowel Web2- als Web3-omgevingen voor beveiligingsoperaties. De API stelt leden in staat om verrijkte dreigingsprofielen rechtstreeks in hun SIEM's en incidentresponsworkflows te trekken, waardoor de vertraging tussen het opsporen van een kwaadwillende en het blokkeren ervan in het netwerk wordt verkort.
De Crypto ISAC verwacht dat de komende maanden meer leden zich op de API aansluiten. Voor nu ligt de focus op het krijgen van de DPRK-data in handen van bedrijven die het meest waarschijnlijk doelwit zijn — beurzen, bewaarders en DeFi-protocollen. Het Drift-stappenplan laat zien dat aanvallers geduldig zijn; het antwoord van de sector moet net zo volhardend zijn.
