Ripple liefert jetzt exklusive Bedrohungsinformationen über Cyber-Akteure aus der DVRK (Demokratische Volksrepublik Korea) an Crypto ISAC, eine gemeinnützige Organisation, die Krypto-Unternehmen dabei unterstützt, Sicherheitsinformationen auszutauschen und sich gemeinsam gegen Cyber-Bedrohungen zu verteidigen, welche auf digitale Vermögenswerte abzielen.
Die Informationen betreffen Domains, Wallets und Hinweise auf Kompromittierung bei aktiven Hacker-Kampagnen aus der DVRK. Zudem werden detaillierte Profile von mutmaßlichen nordkoreanischen IT-Mitarbeitern bereitgestellt, die versuchen, sich in Krypto-Unternehmen einzuschleusen.
Drift-Hack: Auslöser für ein Umdenken der Branche
Der Drift-Hack war für die Branche ein Weckruf. Angreifer bauten über Monate hinweg Vertrauen zu Drift-Mitwirkenden auf. Später setzten sie schädliche Software ein, die Geräte kompromittierte und klassische Hinweise auf Kompromittierung umging.
Die Eindringlinge nutzten gezielte Manipulationen von Personen, um die Kontrolle über Multisig-Wallets zu übernehmen und Geld zu stehlen.
Ein solches Muster ist auch bei Krypto- und traditionellen Finanzunternehmen zu beobachten. Akteure aus Nordkorea agieren zunehmend innerhalb von Organisationen, anstatt ausschließlich Schwachstellen in Smart Contracts auszunutzen.
Crypto ISAC beschrieb die Kampagne als Social Engineering auf einem neuen Niveau. Im Mittelpunkt steht die Frage, wie man jemanden erkennt, der scheinbar ein vertrauensvoller Partner ist.
Einblick in den DVRK-Bedrohungsdaten-Feed
Die bereitgestellten Daten reichen von betrügerischen Domains und Wallets bis hin zu Kompromittierungskennzeichen aus aktuellen DVRK-Aktivitäten.
Jedes Profil eines mutmaßlichen DVRK-Mitarbeiters enthält einen LinkedIn-Account, eine E-Mail-Adresse, einen Ort und eine Telefonnummer. Die Daten erfassen zudem Hinweise, die diese Person mit einer größeren Kampagne verbinden.
Ripple, Coinbase und andere Gründungsmitglieder integrieren die Daten über die neue API von Crypto ISAC. Das System vereinheitlicht Kennzeichen aus Web2- und Web3-Umgebungen und speist sie direkt in die Sicherheitsabläufe der Mitglieder ein.
„Zu lange galt der Austausch von Informationen als optional. Heute ist er der Goldstandard für Sicherheit”, sagte Justine Bone, Geschäftsführerin von Crypto ISAC.
Warum kollektive Verteidigung wichtig ist
Ein Bedrohungsakteur, der bei einer Unternehmen durch die Sicherheitsüberprüfung fällt, bewirbt sich oft noch in derselben Woche bei drei weiteren Unternehmen. Crypto ISAC betont, dass ohne gemeinsame Informationen jeder Verteidiger, der es mit Lazarus-Taktiken zu tun hat, immer wieder bei null anfängt.
Jeff Lunglhofer, Chief Information Security Officer bei Coinbase, erläutert, dass das Datenmodell den Zusammenhang und die Zuverlässigkeit erhält, statt lediglich rohe Hinweise bereitzustellen.
Das Modell muss jedoch noch auf mehr Mitgliedsunternehmen ausgeweitet werden. Ob es mit Vorfällen wie dem Infiltrationsversuch bei Kraken Schritt halten kann, hängt von der Akzeptanz ab.
Ripples Beitrag ist Teil eines umfassenderen Sicherheitsvorstoßes des Unternehmens. Dieser Schritt steht für einen Strategiewechsel hin zu gemeinsamer Verteidigung in der Branche digitaler Vermögenswerte. In den kommenden Monaten wird sich zeigen, ob weitere große Börsen und Protokolle diesem Beispiel folgen.
