Coinbase pirateada: confirma datos confidenciales robados después de que los piratas informáticos violaran los sistemas internos

Coinbase se convierte en la última víctima de un ataque cibernético en el que un actor de amenazas no identificado realizó importantes esfuerzos para violar los sistemas internos de una de las principales plataformas de intercambio de criptomonedas del mundo a través de un ataque de phishing.

En un blog publicado en su sitio web, Coinbase confirmó que los datos de nuestro directorio corporativo quedaron expuestos después de que los atacantes cibernéticos lograron violar su sistema. En un comunicado, Coinbase dijo:

“Coinbase experimentó recientemente un ataque de ciberseguridad dirigido a uno de sus empleados. Afortunadamente, los controles cibernéticos de Coinbase impidieron que el atacante obtuviera acceso directo al sistema y evitaron la pérdida de fondos o el compromiso de la información del cliente. Solo se expuso una cantidad limitada de datos de nuestro directorio corporativo”.

Aunque Coinbase dijo que los fondos de los clientes, así como los datos de los clientes, están seguros, la firma de ciberseguridad Group-IB agregó que el actor de amenazas robó casi 1,000 inicios de sesión de acceso corporativo mediante el envío de enlaces de phishing a través de SMS a los empleados de la empresa.

El ciberdelincuente apuntó inicialmente a los empleados de Coinbase mediante el envío de cinco mensajes SMS de phishing instándolos a iniciar sesión urgentemente en las cuentas de su empresa y leer un mensaje importante. Los mensajes contenían un enlace que imitaba la página de inicio de sesión corporativa de Coinbase, pero en realidad era una página de destino maliciosa diseñada para robar datos confidenciales.

Si bien la mayoría de los empleados no se dejaron engañar por el phishing, un empleado cayó en la estafa y les dio a los piratas informáticos sus credenciales de inicio de sesión. Sin embargo, la cuenta estaba protegida con autenticación multifactor (MFA), lo que limitaba las acciones de los piratas informáticos. Sin embargo, no se dieron por vencidos y llamaron a la víctima, haciéndose pasar por el departamento de TI de la empresa. Le indicaron a la víctima que iniciara sesión en la estación de trabajo y siguiera diferentes pasos.

Coinbase informó que su CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) tardó aproximadamente diez minutos en identificar el ataque y contactar a la víctima con respecto a la actividad sospechosa. La víctima reconoció rápidamente que estaba siendo estafada y terminó la comunicación con el atacante.

La campaña actual comparte similitudes con las campañas de phishing Scatter Swine/0ktapus del año pasado, que los expertos cibernéticos de Group-IB revelaron que resultaron en casi 1,000 inicios de sesión de acceso corporativo robados a través de mensajes SMS de phishing. A pesar de esto, se desconoce quién es el responsable del reciente ataque.

A continuación, Coinbase explicado cómo ocurrió el ataque.

“Tl; dr: Coinbase experimentó recientemente un ataque de ciberseguridad dirigido a uno de sus empleados. Afortunadamente, los controles cibernéticos de Coinbase impidieron que el atacante obtuviera acceso directo al sistema y evitaron la pérdida de fondos o el compromiso de la información del cliente. Solo se expuso una cantidad limitada de datos de nuestro directorio corporativo. Coinbase cree en la transparencia y queremos que nuestros empleados, clientes y la comunidad escuchen los detalles de este ataque y compartan las tácticas, técnicas y procedimientos (TTP) utilizados por este adversario para que todos puedan protegerse mejor.

Los clientes y empleados de Coinbase son objetivos frecuentes de los estafadores. La razón es simple: la moneda en cualquier forma, incluida la criptografía, es exactamente lo que buscan los ciberdelincuentes. No es difícil entender por qué tantos adversarios buscan constantemente formas de obtener ganancias rápidas.

Lidiar con una cantidad tan grande de adversarios y desafíos de ciberseguridad es una de las razones por las que encuentro que Coinbase es un lugar tan interesante para trabajar. En este artículo, discutiremos un ataque cibernético real y un incidente cibernético asociado que tratamos recientemente aquí en Coinbase. Si bien estoy muy feliz de decir que en este caso no se vieron afectados los fondos ni la información de los clientes, todavía hay lecciones valiosas que aprender. En Coinbase creemos en la transparencia. Al hablar abiertamente sobre problemas de seguridad como este, creo que hacemos que toda la comunidad sea más segura y más consciente de la seguridad.

Nuestra historia comienza a última hora del día domingo 5 de febrero de 2023. Varios teléfonos móviles de empleados comienzan a alertar con mensajes SMS que indican que deben iniciar sesión urgentemente a través del enlace proporcionado para recibir un mensaje importante. Mientras que la mayoría ignora este mensaje espontáneo, un empleado, creyendo que es un mensaje importante y legítimo, hace clic en el enlace e ingresa su nombre de usuario y contraseña. Después de "iniciar sesión", se le pide al empleado que ignore el mensaje y se le agradece por cumplir.

Lo que sucedió a continuación fue que el atacante, equipado con un nombre de usuario y una contraseña legítimos de empleado de Coinbase, hizo repetidos intentos de obtener acceso remoto a Coinbase. Afortunadamente nuestros controles cibernéticos estaban listos. El atacante no pudo proporcionar las credenciales de autenticación multifactor (MFA) requeridas, y se le bloqueó el acceso. En muchos casos, ese sería el final de la historia. Pero no se trataba de un atacante cualquiera. Creemos que este individuo está asociado con una campaña de ataque altamente persistente y sofisticada que ha estado dirigida a decenas de empresas desde el año pasado.

Unos 20 minutos después, sonó el teléfono móvil de nuestro empleado. El atacante afirmó ser de la tecnología de la información (TI) corporativa de Coinbase y necesitaba la ayuda del empleado. Creyendo que estaban hablando con un miembro legítimo del personal de TI de Coinbase, el empleado inició sesión en su estación de trabajo y comenzó a seguir las instrucciones del atacante. Eso inició un tira y afloja entre el atacante y un empleado cada vez más sospechoso. A medida que avanzaba la conversación, las solicitudes se volvieron cada vez más sospechosas. Afortunadamente, no se tomaron fondos y no se accedió ni se vio información de los clientes, pero se tomaron algunos datos de contacto limitados de nuestros empleados, específicamente nombres de empleados, direcciones de correo electrónico y algunos números de teléfono.

Afortunadamente, nuestro Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) estuvo al tanto de este problema dentro de los primeros 10 minutos del ataque. Nuestro CSIRT fue alertado de actividad inusual por nuestro sistema de gestión de incidentes y eventos de seguridad (SIEM). Poco después, uno de nuestros respondedores de incidentes se comunicó con la víctima a través de nuestro sistema de mensajería interno de Coinbase y le preguntó sobre algunos de los comportamientos inusuales y patrones de uso asociados con su cuenta. Al darse cuenta de que algo andaba muy mal, el empleado finalizó todas las comunicaciones con el atacante.

Nuestro equipo de CSIRT suspendió de inmediato todo acceso para el empleado víctima e inició una investigación completa. Gracias a nuestro entorno de control por capas, no se perdieron fondos ni se comprometió la información de los clientes. La limpieza fue relativamente rápida, pero aún así, hay muchas lecciones que aprender aquí.

Cualquiera puede ser manipulado socialmente

Los seres humanos somos criaturas sociales. Queremos llevarnos bien. Queremos ser parte del equipo. Si cree que no puede dejarse engañar por una campaña de ingeniería social bien ejecutada, se está engañando a sí mismo. En las circunstancias adecuadas, casi cualquier persona puede ser víctima.

El ataque más difícil de resistir de todos es un ataque de ingeniería social de contacto directo, como el que sufrió nuestro empleado aquí. Aquí es donde el atacante se comunica directamente con usted a través de las redes sociales, su teléfono móvil o, lo que es peor, camina hasta su casa o lugar de trabajo. Estos ataques no son nuevos. De hecho, este tipo de ataques ciertamente han estado ocurriendo desde los primeros días de la humanidad. Es una táctica favorita de los adversarios de todo el mundo, porque funciona.

¿Asi que que hacemos? ¿Cómo evitamos que esto suceda?

Me gustaría decir que esto es solo un problema de entrenamiento. Que los clientes, empleados y personas de todo el mundo necesitan estar mejor capacitados. Necesitan hacerlo mejor, siempre habrá algo de verdad en eso. Pero como profesionales de la ciberseguridad, esa no puede ser la excusa a la que recurrimos cada vez que esto sucede. La investigación muestra una y otra vez que todas las personas pueden ser engañadas eventualmente, sin importar cuán alertas, hábiles y preparadas estén. Siempre debemos trabajar a partir de la suposición de que sucederán cosas malas. Necesitamos innovar constantemente para mitigar la efectividad de estos ataques y, al mismo tiempo, esforzarnos por mejorar la experiencia general de nuestros clientes y empleados.

¿Puede compartir alguna táctica, técnica y procedimiento (TTP)?

Seguro que podemos. Dada la amplia gama de empresas a las que se dirige este actor, queremos que todos sepan lo que sabemos. Aquí hay algunas cosas específicas que le recomendamos que busque en sus registros corporativos/SIEM:

Cualquier tráfico web desde sus activos tecnológicos a las siguientes direcciones, donde * representa el nombre de su empresa u organización:

sso-*.com

*-sso.com

iniciar sesión.*-sso.com

tablero-*.com

*-dashboard.com

Cualquier descarga o intento de descarga de los siguientes visores de escritorio remoto:

AnyDesk (anydesk punto com)

ISL en línea (islonline punto com)

Cualquier intento de acceder a su organización desde un proveedor de VPN externo, específicamente Mullvad VPN.

Llamadas telefónicas / mensajes de texto entrantes de los siguientes proveedores:

voz de Google

Skype

Vonage/Nexmo

Ancho de banda punto com”

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://techstartups.com/2023/02/22/coinbase-confirms-its-data-has-been-hacked-sensitive-data-stolen-from-coinbase-crypto-exchange-after-cyberattackers-targeted-employees-with-fake-sms-alert/

Inteligencia de datos generativa

Coinbase Hacked: confirma el robo de datos confidenciales después de que los piratas informáticos violaran los sistemas internos

Deutsche Bank se une al proyecto Guardian de MAS para explorar la tokenización de activos – Fintech Singapore

Autenticidad en la era de los deepfakes: el enfoque multicapa ZOLOZ eKYC – Fintech Singapore

Información más reciente

¿Son los tokens de juegos la próxima gran novedad en las finanzas virtuales?

Reducción récord de las emisiones del RCDE europeo en 2023.

Reducción récord de las emisiones del RCDE europeo en 2023.

Reducción del registro de emisiones del ETS Europeo en 2023.

Reducción del registro de emisiones del ETS Europeo en 2023.

La actualización de ciberseguridad de Singapur avisa a los proveedores de la nube