Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Pas på pengene, også de virtuelle. En hackergruppe ved navn BlueNoroff har udført en række angreb mod små og mellemstore virksomheder verden over, hvilket har medført store tab af kryptovaluta for ofrene.
Hackerkampagnen er afsløret af sikkerhedsfirmaet Kaspersky, som har døbt den SnatchCrypto, og den er især rettet mod opstartsvirksomheder, der arbejder med kryptovaluta, smarte kontrakter og blockchain samt mod den bredere Fintech-industri.
Hackergruppen har sendt en Windows-bagdør til medarbejdere i fintech-firmaer med fuld funktionalitet og overvågningsfunktioner under dække af at være en kontrakt eller anden forretningsfil.
Med henblik på at tømme ofrenes krypto-wallets har hackergruppen udviklet en kompleks infrastruktur samt exploits og malware, forklarer Kaspersky.
Udgår fra en berygtet gruppe
BlueNoroff er en del af den berygtede Lazarus-gruppe, som er kendt for angreb på banker og SWIFT-servere. Hackergruppen har også oprettet falske virksomheder, der lader, som om de udvikler kryptovaluta-software. Via legitimt udseende apps fra disse falske virksomheder har hackergruppen kunnet åbne en bagdør ind til offerets virksomhed.
For at vinde ofrenes tillid har BlueNoroff ligeledes misbrugt eksisterende venturekapitalvirksomheder. Kaspersky har til dato afsløret over 15 venturekapitalvirksomheder, der har fået misbrugt deres firmanavn og medarbejdernes e-mails og navne i den igangværende SnatchCrypto-kampagne.
Hvis lokkedokumentet bliver åbnet offline, vil filen ikke udgøre noget farligt. Sandsynligvis vil den ligne en kopi af en kontrakt eller et andet harmløst dokument. Men hvis computeren er forbundet til internettet på det tidspunkt, hvor filen åbnes, hentes et andet makroaktiveret dokument til offerets enhed, og malwaren rulles ud.
Uddannelse til medarbejderne
Ud over ondsindede Word-dokumenter, spreder hackergruppen også malware forklædt som zippede Windows-genvejsfiler, der åbner en bagdør, hvorefter hackerne via keylogger og screenshot-taker kan overvåge offeret. I løbet af flere uger eller måneder indsamler hackerne tastetryk og overvåger brugerens daglige aktiviteter, mens de planlægger det økonomiske tyveri.
Ifølge it-sikkerhedsefterforskerne slår hackerne til, når de notificeres om store overførsler. Når den kompromitterede bruger forsøger at overføre kryptovaluta til en anden konto, opsnapper hackergruppen transaktionsprocessen og injicerer deres egen logik.
Når brugeren godkender transaktionen, ændrer de it-kriminelle modtagerens adresse, skruer transaktionsbeløbet op til det maksimale, og tømmer i realiteten kontoen i ét træk.
"Da hackere hele tiden finder på nye måder at snyde og misbruge på, bør selv små virksomheder uddanne deres medarbejdere i grundlæggende it-sikkerhedspraksis. Det er især vigtigt, hvis virksomheden arbejder med krypto-wallets. Der er ikke noget galt med at bruge kryptovaluta-tjenester og -udvidelser, men vær bevidst om, at det også er et attraktivt mål for både avancerede hackergrupper og andre it-kriminelle,” advarer Seongsu Park, der er senior it-sikkerhedsefterforsker i Kasperskys Global Research and Analysis Team (GReAT).