Son conocidos dentro de la darknet underground como "The Lazarus Group", pero las fuentes de inteligencia dicen que son el ejército digital de Corea del Norte. Es posible que haya escuchado el nombre antes en el infame hack de 2014 de Sony Pictures.

Pero su última operación tiene un nuevo objetivo: la criptomoneda, y fue descubierta por la empresa de seguridad cibernética Secureworks.

El foco del ataque son los ejecutivos de las empresas financieras que poseen y administran criptomonedas, y funciona de esta manera: un ejecutivo recibe un correo electrónico, que indica que hay una oportunidad para ascender en las filas y convertirse en el Director Financiero de la compañía.

Hay un archivo adjunto en forma de archivo de Microsoft Word. Cuando se abre, recibe una notificación "la edición debe estar habilitada para ver el documento" y cuando el usuario hace clic en "Aceptar", se inicia un script incrustado que hace 2 cosas.

Primero, crea y luego abre un documento inofensivo: una descripción real del trabajo para mantener al usuario distraído y poco sospechoso.

El investigador de seguridad Didier Stevens instaló una trampa, o en términos de seguridad digital, un "honeypot". Piense en ello como una operación encubierta digital, en la que alguien pone un servidor en línea abierto a ataques, pero no hay nada de valor allí, solo está allí para registrar los ataques a medida que ocurren.

Los registros de estos honeypots revelaron que los piratas informáticos ejecutaban scripts para detectar archivos que contienen billeteras de criptomonedas.

Los nombres de archivo incluyen:

billetera - Copy.dat
monedero.dat
monedero.dat.1
monedero.dat.zip
monedero.tar
monedero.tar.gz
monedero.zip
wallet_backup.dat
wallet_backup.dat.1
wallet_backup.dat.zip
wallet_backup.zip

Didier dijo que ha visto una actividad como esta desde 2013, pero nunca a un volumen tan alto.

Lo mismo le está sucediendo ahora a Ethereum, ya que se ha consolidado como la criptomoneda n. ° 2. El cazador de amenazas Dimitrios Slamaris instaló un honeypot y fingió tener Ethereum en su billetera.

El pirata informático verificó qué software estaba ejecutando, cuánto ethereum tenía en la billetera, luego emitió un comando eth_sendTransaction en un intento de robar gas de la cuenta recibida anteriormente.

Parece que el hacker también ha tenido un pequeño éxito, "La cuenta de destino tiene casi 8 Ethers ..." Dimitrios tuiteó el 8 de noviembre.

Desde entonces, han entrado algunas transacciones más, así como una transferencia que sale al intercambio ShapeShift.

Una mirada a la actividad de la billetera del hacker.

Las lecciones que se pueden extraer de esto son: su billetera no debe llamarse "billetera", y aún mejor, su billetera no debe estar en una computadora que esté en línea, o al menos, detrás de un firewall fuerte.

Coinbase participa en este año "Hackea el mundo"competencia para los hackers de White Hat (buenos) que ayudan a las empresas a encontrar y solucionar agujeros de seguridad.

$ 50,000 es el gran premio, si un pirata informático puede ejecutar código de forma remota en los servidores de coinbase.

Pero eso no es todo lo que ofrecen, recompensas adicionales incluyen:

$ 10,000 por XSS / CSRF / Clickjacking que afectan acciones sensibles.
$ 7,500 por robo de información privilegiada.
$ 5,000 por omisión de autenticación parcial.
y $ 3,000 para una variedad de "tareas menores".

Coinbase tampoco es nuevo en esta idea, admiten con orgullo: ya han pagado $ 176,031 en recompensas a 223 piratas informáticos / investigadores.

La práctica es realmente común entre las compañías tecnológicas y otros patrocinadores de este evento incluyen Airbnb, Uber y Dropbox.

"Hackear el mundo" está en progreso ahora, y termina el 18 de noviembre.