Ripple предоставляет Crypto ISAC эксклюзивные данные о киберугрозах, исходящих из Северной Кореи, включая мошеннические домены, адреса кошельков и индикаторы компрометации, поскольку индустрия сталкивается с серией сложных атак методом социальной инженерии. Материалы включают развернутые профили подозреваемых северокорейских IT-специалистов с указанием аккаунтов в LinkedIn, электронных адресов, местоположений и контактных номеров, связанных с масштабными киберкампаниями. Это решение последовало спустя несколько недель после взлома Drift, который продемонстрировал, как злоумышленники могут на протяжении месяцев налаживать доверие, чтобы получить доступ к мультиподписным кошелькам, обходя традиционные меры безопасности.
Внутри предоставленных материалов
Вклад Ripple включает не только сырые данные. Материалы содержат профили IT-специалистов, связанных с КНДР, которые компании могут использовать для проверки при найме персонала и оценке поставщиков. Генеральный директор Crypto ISAC отметил, что обмен разведданными перешел из разряда опционального в «золотой стандарт» безопасности в криптоиндустрии. Организация предупреждает, что киберпреступники, не прошедшие проверку в одной компании, за ту же неделю часто подают заявки еще в три другие — что делает обмен данными не просто полезной опцией, а практической необходимостью.
Кейс Drift
Взлом Drift не был быстрой атакой. Преступники месяцы налаживали доверие с целью, прежде чем использовать уязвимости в системе управления мультиподписными кошельками. Традиционные периметральные системы защиты — брандмауэры, антивирусы, стандартный мониторинг конечных точек — не смогли выявить долгосрочную афёру. Именно такие угрозы наиболее эффективно нейтрализуются благодаря обмену разведданными: выявляя общие паттерны между компаниями, которые ни одна организация не смогла бы обнаружить в одиночку.
Как работает обмен
Ripple, Coinbase и другие основатели Crypto ISAC интегрируют данные об угрозах через новый API, который стандартизирует индикаторы для сред Web2 и Web3 в целях обеспечения безопасности. API позволяет участникам напрямую импортировать развернутые профили угроз в свои SIEM-системы и процессы реагирования на инциденты, сокращая задержку между обнаружением злоумышленника и блокировкой его активности по всей сети.
Crypto ISAC ожидает, что в ближайшие месяцы к API подключится больше участников. Пока основное внимание уделяется передаче данных о КНДР тем компаниям, которые наиболее вероятно могут стать мишенью: биржам, кастодианам и протоколам DeFi. Кейс Drift показывает, что атакующие проявляют терпение; ответная реакция индустрии должна быть не менее настойчивой.
