El gigante blockchain abre líneas de comunicación para salvaguardar a la industria de los peligros cibernéticos de los estados rebeldes

Ripple ahora está compartiendo su inteligencia sobre amenazas internas sobre los piratas informáticos norcoreanos con la industria de la criptografía, dijo la compañía el lunes, en una medida que replantea cómo el sector está respondiendo a un cambio en la metodología de ataque de la RPDC.

El truco de Drift no fue un truco en la forma en que la mayoría de la gente piensa que es uno.

Nadie encontró un error ni aprovechó un contrato inteligente. Los agentes norcoreanos pasaron meses haciéndose amigos de los contribuyentes de Drift, introdujeron malware en sus máquinas y se llevaron las llaves. Cuando se movieron los 285 millones de dólares, cada sistema que se suponía iba a detectar un ataque no tenía nada que señalar.

Esa es la versión de los eventos que Ripple y Crypto ISAC, el grupo de intercambio de amenazas de la industria de la criptografía, presentaron el lunes junto con la noticia de que Ripple ahora está compartiendo sus datos internos sobre los actores de amenazas norcoreanos con el resto del sector.

La ola de más hacks de DeFi de 2022 a 2024 se centró en la explotación de código, y los atacantes encontraron vulnerabilidades de contratos inteligentes y agotaron protocolos en minutos.

Pero a medida que la seguridad se vuelve más estricta, el modus operandi pasa de la tecnología a las personas. Los agentes deshonestos solicitan empleos en empresas de cifrado, pasan verificaciones de antecedentes, aparecen en llamadas de Zoom y generan confianza durante meses. Luego despliegan ataques para los que ninguna herramienta de seguridad tradicional fue diseñada para detectar, porque el atacante ya está dentro.

Ripple ahora está alimentando a Crypto ISAC con el tipo de datos de perfil que hacen que ese patrón sea legible en todas las empresas. Perfiles de LinkedIn, direcciones de correo electrónico, ubicaciones, números de contacto... o el tejido conectivo que permite a un equipo de seguridad reconocer al candidato que acaban de entrevistar como el mismo agente que no pasó las verificaciones de antecedentes en otras tres empresas la semana pasada.

"La postura de seguridad más sólida en criptografía es compartida", publicó Ripple en X. "Un actor de amenazas que no pasa una verificación de antecedentes en una empresa se postulará para tres más esa misma semana. Sin inteligencia compartida, todas las empresas comienzan desde cero".

El alcance de Lazarus Group en el sector de las criptomonedas ahora es lo suficientemente visible como para que haya comenzado a remodelar los procedimientos legales y de seguridad.

El lunes, un abogado que representa a las víctimas del terrorismo norcoreano entregó notificaciones de restricción a Arbitrum DAO, argumentando que los 30.765 $ETH congelados después de la explotación del puente Kelp en abril son propiedad de Corea del Norte según la ley de aplicación de Estados Unidos.

Desde entonces, la compañía de préstamos Aave ha cuestionado esa presentación en apoyo de Arbitrum, argumentando que un "ladrón no obtiene la propiedad legal de la propiedad robada simplemente tomándola".

La violación de Kelp había agotado 292 millones de dólares en éter ($ETH) y también se atribuyó públicamente a los agentes del Grupo Lazarus, lo que suma las pérdidas de Drift y Kelp de abril en más de 500 millones de dólares vinculados a un solo actor estatal en el lapso de un solo mes.

La cuestión abierta es si el intercambio de inteligencia a nivel industrial realmente ralentiza las campañas. Es posible que los mismos agentes ya estén en la próxima ronda de entrevistas en algún lugar.