Pas på din kryptovaluta – hackerne har lange fingre

Virksomheder, som arbejder med kryptovaluta er i farezonen. En ny hackergruppe har specialiseret sig i at stjæle deres værdier.

Artikel top billede

(Foto: Computerworld)

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Pas på pengene, også de virtuelle. En hackergruppe ved navn BlueNoroff har udført en række angreb mod små og mellemstore virksomheder verden over, hvilket har medført store tab af kryptovaluta for ofrene.

Hackerkampagnen er afsløret af sikkerhedsfirmaet Kaspersky, som har døbt den SnatchCrypto, og den er især rettet mod opstartsvirksomheder, der arbejder med kryptovaluta, smarte kontrakter og blockchain samt mod den bredere Fintech-industri.

Hackergruppen har sendt en Windows-bagdør til medarbejdere i fintech-firmaer med fuld funktionalitet og overvågningsfunktioner under dække af at være en kontrakt eller anden forretningsfil.

Med henblik på at tømme ofrenes krypto-wallets har hackergruppen udviklet en kompleks infrastruktur samt exploits og malware, forklarer Kaspersky.

Udgår fra en berygtet gruppe

BlueNoroff er en del af den berygtede Lazarus-gruppe, som er kendt for angreb på banker og SWIFT-servere. Hackergruppen har også oprettet falske virksomheder, der lader, som om de udvikler kryptovaluta-software. Via legitimt udseende apps fra disse falske virksomheder har hackergruppen kunnet åbne en bagdør ind til offerets virksomhed.

For at vinde ofrenes tillid har BlueNoroff ligeledes misbrugt eksisterende venturekapitalvirksomheder. Kaspersky har til dato afsløret over 15 venturekapitalvirksomheder, der har fået misbrugt deres firmanavn og medarbejdernes e-mails og navne i den igangværende SnatchCrypto-kampagne.

Hvis lokkedokumentet bliver åbnet offline, vil filen ikke udgøre noget farligt. Sandsynligvis vil den ligne en kopi af en kontrakt eller et andet harmløst dokument. Men hvis computeren er forbundet til internettet på det tidspunkt, hvor filen åbnes, hentes et andet makroaktiveret dokument til offerets enhed, og malwaren rulles ud.

Uddannelse til medarbejderne

Ud over ondsindede Word-dokumenter, spreder hackergruppen også malware forklædt som zippede Windows-genvejsfiler, der åbner en bagdør, hvorefter hackerne via keylogger og screenshot-taker kan overvåge offeret. I løbet af flere uger eller måneder indsamler hackerne tastetryk og overvåger brugerens daglige aktiviteter, mens de planlægger det økonomiske tyveri.

Ifølge it-sikkerhedsefterforskerne slår hackerne til, når de notificeres om store overførsler. Når den kompromitterede bruger forsøger at overføre kryptovaluta til en anden konto, opsnapper hackergruppen transaktionsprocessen og injicerer deres egen logik.

Når brugeren godkender transaktionen, ændrer de it-kriminelle modtagerens adresse, skruer transaktionsbeløbet op til det maksimale, og tømmer i realiteten kontoen i ét træk.

"Da hackere hele tiden finder på nye måder at snyde og misbruge på, bør selv små virksomheder uddanne deres medarbejdere i grundlæggende it-sikkerhedspraksis. Det er især vigtigt, hvis virksomheden arbejder med krypto-wallets. Der er ikke noget galt med at bruge kryptovaluta-tjenester og -udvidelser, men vær bevidst om, at det også er et attraktivt mål for både avancerede hackergrupper og andre it-kriminelle,” advarer Seongsu Park, der er senior it-sikkerhedsefterforsker i Kasperskys Global Research and Analysis Team (GReAT).

Læses lige nu

    Annonceindlæg fra Academic Work Denmark A/S

    Accele­rated learning har løst samfund­skri­tiske udfordringer hos vores nordiske naboer

    Med akut mangel på blandt andet IT- og Tech kompetencer er det nødvendigt at gøre op med traditionel uddannelsestænkning.

    Navnenyt fra it-Danmark

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
    WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

    Tim Meicker

    WITRICS A/S

    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse