Криптовалютная биржа Coinbase сообщила о недавней кибератаке, нацеленной на одного из ее сотрудников, которая привела к краже учетных данных для входа dent раскрытию некоторой контактной информации, принадлежащей нескольким сотрудникам. Однако кибер-контроль компании не позволил злоумышленнику получить прямой доступ к системе, и никакие данные или средства клиентов не были скомпрометированы.
«Coinbase недавно подверглась кибератаке, направленной против одного из ее сотрудников. К счастью, средства киберконтроля Coinbase не позволили злоумышленнику получить прямой доступ к системе и предотвратили потерю средств или компрометацию информации о клиентах. Был раскрыт лишь ограниченный объем данных из нашего корпоративного каталога».
Команда Coinbase
Как произошло нападение
По данным Coinbase, 5 февраля несколько сотрудников получили SMS-сообщения о том, что им срочно нужно войти в систему, чтобы получить важное сообщение. В то время как большинство сотрудников проигнорировали сообщение, один сотрудник щелкнул ссылку и ввел свои данные для входа, думая, что это законное сообщение. Злоумышленник, используя законное имя пользователя и пароль сотрудника Coinbase, предпринял неоднократные попытки получить удаленный доступ к компании, но не смог предоставить необходимые учетные dent многофакторной аутентификации (MFA), что заблокировало их доступ.
Впоследствии злоумышленник позвонил сотруднику и заявил, что он из отдела корпоративных информационных технологий (ИТ) Coinbase, и обратился за помощью к сотруднику. Сотрудник, полагая, что звонивший является законным сотрудником ИТ-отдела Coinbase, вошел в свою рабочую станцию и выполнил инструкции злоумышленника. Однако по ходу разговора сотрудник становился все более подозрительным, и в конечном итоге запросы стали слишком подозрительными.
Coinbase заверила своих клиентов, что никакие средства или информация о клиентах не были скомпрометированы, и было раскрыто лишь ограниченное количество данных из корпоративного каталога. dent подчеркивает важность tron киберконтроля и осведомленности сотрудников для предотвращения успешных кибератак.
Предотвращение кибератак
Coinbase поделилась некоторыми ключевыми тактиками, методами и процедурами (TTP), которые другие криптокомпании могут использовать для dent и защиты от подобных атак.
TTP включает в себя мониторинг веб-трафика от технологических активов компании до определенных адресов, таких как sso-.com, -sso.com, login.-sso.com, dashboard-.com и *-dashboard.com. Кроме того, согласно Coinbase, жизненно важно отслеживать загрузки или попытки загрузки определенных средств просмотра удаленных рабочих столов, включая AnyDesk и ISL Online, а также любые попытки доступа к организации от стороннего VPN-провайдера, в частности Mullvad VPN.
Кроме того, Coinbase также сообщила, что криптокомпании должны проявлять бдительность в отношении входящих телефонных звонков/текстовых сообщений от определенных провайдеров, включая Google Voice, Skype, Vonage/Nexmo и Bandwidth. Они также должны отслеживать неожиданные попытки установить определенные расширения браузера, включая EditThisCookie.
По словам Уилла Томаса из Центра анализа угроз Equinix (ETAC), некоторые дополнительные тематические домены Coinbase, такие как sso-cbhq[.]com, sso-cb[.]com и coinbase[.]sso-cloud[.] com, возможно, использовались в атаке. Важно знать, что способ действий злоумышленника аналогичен тому, что наблюдалось во время фишинговых кампаний Scatter Swine/0ktapus в прошлом году.
Group-IB, компания по кибербезопасности, также сообщила, что злоумышленник украл почти 1000 корпоративных учетных записей для доступа, отправив фишинговые ссылки по SMS сотрудникам компании.