L'échange de crypto-monnaie Coinbase a signalé une récente cyberattaque visant l'un de ses employés, entraînant le vol d'identifiants de connexion dent la divulgation de certaines informations de contact appartenant à plusieurs employés. Cependant, les cybercontrôles de l'entreprise ont empêché l'attaquant d'accéder directement au système, et aucune donnée client ni aucun fonds n'ont été compromis.
"Coinbase a récemment subi une attaque de cybersécurité qui a ciblé l'un de ses employés. Heureusement, les cybercontrôles de Coinbase ont empêché l'attaquant d'accéder directement au système et ont empêché toute perte de fonds ou compromis des informations client. Seule une quantité limitée de données de notre répertoire d'entreprise a été exposée.
Équipe Coinbase
Comment l'attaque s'est produite
Selon Coinbase, le 5 février, plusieurs employés ont reçu des messages SMS indiquant qu'ils devaient de toute urgence se connecter pour recevoir un message important. Alors que la plupart des employés ont ignoré le message, un employé a cliqué sur le lien et saisi ses informations de connexion, pensant qu'il s'agissait d'un message légitime. L'attaquant, équipé d'un nom d'utilisateur et d'un mot de passe légitimes pour les employés de Coinbase, a tenté à plusieurs reprises d'accéder à distance à l'entreprise, mais n'a pas pu fournir les dent d'authentification multifacteur (MFA) requis, ce qui a bloqué leur accès.
Par la suite, l'attaquant a appelé l'employé et a prétendu appartenir au service des technologies de l'information (TI) de Coinbase, demandant l'aide de l'employé. L'employé, pensant que l'appelant était un membre légitime du personnel informatique de Coinbase, s'est connecté à son poste de travail et a suivi les instructions de l'attaquant. Cependant, l'employé est devenu de plus en plus méfiant au fur et à mesure que la conversation avançait et, finalement, les demandes sont devenues trop suspectes.
Coinbase a rassuré ses clients sur le fait qu'aucun fonds ou information client n'a été compromis et que seule une quantité limitée de données du répertoire d'entreprise a été exposée. L' dent met en évidence l'importance de contrôles informatiques tron et de la sensibilisation des employés pour prévenir les cyberattaques réussies.
Prévenir les cyberattaques
Coinbase a partagé certaines tactiques, techniques et procédures (TTP) clés que d'autres sociétés de cryptographie peuvent utiliser pour dent et se défendre contre une attaque similaire.
Le TTP comprend la surveillance du trafic Web des actifs technologiques de l'entreprise vers des adresses spécifiques, telles que sso-.com, -sso.com, login.-sso.com, dashboard-.com et *-dashboard.com. De plus, la surveillance des téléchargements ou des tentatives de téléchargement de visualiseurs de bureau à distance spécifiques, y compris AnyDesk et ISL Online, et toute tentative d'accès à l'organisation à partir d'un fournisseur VPN tiers, en particulier le VPN Mullvad, est vitale, selon Coinbase.
En outre, Coinbase a également indiqué que les sociétés de cryptographie devraient être vigilantes vis-à-vis des appels téléphoniques/textos entrants provenant de fournisseurs spécifiques, notamment Google Voice, Skype, Vonage/Nexmo et Bandwidth. Ils doivent également surveiller les tentatives inattendues d'installation d'extensions de navigateur spécifiques, y compris EditThisCookie.
Selon Will Thomas du Equinix Threat Analysis Center (ETAC), certains domaines supplémentaires sur le thème de Coinbase, tels que sso-cbhq[.]com, sso-cb[.]com et coinbase[.]sso-cloud[.] com, ont peut-être été utilisés dans l'attaque. Il est essentiel de savoir que le modus operandi de l'attaquant est similaire à ce qui a été observé lors des campagnes de phishing Scatter Swine/0ktapus l'année dernière.
Group-IB, une société de cybersécurité, a également signalé que l'acteur de la menace avait volé près de 1 000 identifiants d'accès d'entreprise en envoyant des liens de phishing par SMS aux employés de l'entreprise.
