Ripple ora contribuisce fornendo informazioni esclusive sulle minacce rappresentate dagli attori cyber della RPDC (Repubblica Popolare Democratica di Corea) a Crypto ISAC, un’organizzazione no-profit che aiuta le aziende crypto a condividere informazioni sulla sicurezza e a difendersi dalle minacce informatiche rivolte agli asset digitali.
Le informazioni riguardano domini, wallet e indicatori di compromissione provenienti da campagne attive di hacking della RPDC. Inoltre, includono profili arricchiti di sospetti lavoratori IT nordcoreani che cercano di infiltrarsi all’interno delle aziende crypto.
L’attacco a Drift ha avviato una riflessione profonda nel settore
L’attacco a Drift ha rappresentato un campanello d’allarme per il settore. Gli aggressori hanno impiegato mesi per guadagnare la fiducia dei collaboratori di Drift. Successivamente, hanno distribuito software malevolo che ha compromesso dispositivi ed eluso i classici indicatori di compromissione.
Gli intrusi hanno manipolato alcune persone riuscendo così a ottenere il controllo di wallet multisig wallet e a rubare fondi.
Lo stesso schema si è ripetuto sia presso aziende crypto sia in realtà della finanza tradizionale. Gli attori malevoli della Corea del Nord ora agiscono dall’interno delle organizzazioni invece di fare affidamento solo su exploit degli smart contract.
Crypto ISAC ha descritto questa campagna come ingegneria sociale a un livello superiore. L’articolo ha sollevato una domanda centrale: come si può individuare chi sembra essere un partner affidabile?
Dentro il flusso di intelligence sulle minacce dalla RPDC
I dati condivisi spaziano dai domini fraudolenti ai wallet fino agli indicatori di compromissione relativi alle operazioni attive della RPDC.
Ciascun profilo di un lavoratore sospetto della RPDC contiene un account LinkedIn, un’e-mail, una posizione geografica e un recapito telefonico. I dati raccolgono anche segnali che collegano la persona a una campagna più ampia.
Ripple, Coinbase e altri membri fondatori stanno integrando questi dati tramite la nuova API di Crypto ISAC. Il sistema normalizza gli indicatori sia negli ambienti Web2 che Web3 e li invia direttamente alle rispettive operazioni di sicurezza dei membri.
“Per troppo tempo, la condivisione delle informazioni è stata vista come opzionale. Oggi è diventata lo standard di riferimento per la sicurezza”, ha dichiarato Justine Bone, direttrice esecutiva di Crypto ISAC.
Perché la difesa collettiva è importante
Un attore malevolo che fallisce la verifica dei precedenti presso un’azienda spesso si candida presso altre tre aziende nella stessa settimana. Crypto ISAC sottolinea che, senza una condivisione delle informazioni, ogni responsabile della sicurezza che si trova ad affrontare le tattiche di Lazarus parte sempre da zero.
Jeff Lunglhofer, Chief Information Security Officer di Coinbase, ha spiegato che il modello di dati mantiene il contesto e il livello di affidabilità invece che semplici indicatori grezzi.
Il modello deve però essere adottato anche da altre aziende membri. Se riuscirà a tenere il passo rispetto a incidenti come il tentativo di infiltrazione su Kraken dipenderà dalla sua diffusione.
Il contributo di Ripple si inserisce in un più ampio impegno sulla sicurezza dell’azienda. Questa scelta segna un cambio di paradigma verso una difesa condivisa nel settore degli asset digitali. I prossimi mesi diranno se altri grandi exchange e protocolli seguiranno questo esempio.
