Ripple przekazuje ekskluzywny wywiad o cyberzagrożeniach z Korei Północnej do Crypto ISAC – w tym fałszywe domeny, adresy portfeli i wskaźniki kompromitacji – podczas gdy branża zmaga się z serią zaawansowanych ataków socjotechnicznych. Wywiad obejmuje wzbogacone profile podejrzanych pracowników IT z Korei Północnej, wraz z kontami LinkedIn, e-mailami, lokalizacjami i numerami kontaktowymi powiązanymi z szerszymi kampaniami cybernetycznymi. Działanie to następuje kilka tygodni po włamaniu Drift, które pokazało, jak atakujący mogą przez miesiące budować zaufanie, aby skompromitować portfele multisig, omijając tradycyjne środki bezpieczeństwa.
Szczegóły zestawu danych
Wkład Ripple wykracza poza surowe dane. Materiał obejmuje profile podejrzanych pracowników IT powiązanych z KRLD, które firmy mogą weryfikować podczas rekrutacji i due diligence wobec dostawców. Dyrektor wykonawczy Crypto ISAC stwierdził, że udostępniane dane wywiadowcze przeszły z opcjonalnych do „złotego standardu” bezpieczeństwa w branży kryptowalut. Organizacja ostrzega, że aktorzy zagrożeń, którzy nie przejdą weryfikacji w jednej firmie, często aplikują do trzech innych w tym samym tygodniu – co czyni udostępnianie danych praktyczną koniecznością, a nie luksusem.
Studium przypadku Drift
Włamanie Drift nie było szybkim rabunkiem. Atakujący spędzili miesiące na budowaniu zaufania do celu, zanim wykorzystali zabezpieczenia portfela multisig. Tradycyjne zabezpieczenia peryferyjne – zapory ogniowe, antywirusy, standardowe monitorowanie punktów końcowych – nie wychwyciły długotrwałego oszustwa. To właśnie zagrożenie, które najbardziej korzysta z udostępnianego wywiadu: wykrywanie wzorców między firmami, których żadna pojedyncza firma nie zobaczyłaby sama.
Jak działa udostępnianie
Ripple, Coinbase i inni członkowie założyciele Crypto ISAC integrują swoje dane o zagrożeniach za pomocą nowego API, które normalizuje wskaźniki w środowiskach Web2 i Web3 na potrzeby operacji bezpieczeństwa. API pozwala firmom członkowskim pobierać wzbogacone profile zagrożeń bezpośrednio do swoich systemów SIEM i przepływów pracy reagowania na incydenty, skracając czas między wykryciem złego aktora a zablokowaniem go w sieci.
Crypto ISAC spodziewa się, że w nadchodzących miesiącach więcej członków podłączy się do API. Na razie skupiamy się na dostarczeniu danych o KRLD firmom najbardziej narażonym na ataki – giełdom, depozytariuszom i protokołom DeFi. Schemat Drift pokazuje, że atakujący są cierpliwi; odpowiedź branży musi być równie wytrwała.
