Gli hacker nordcoreani che si spacciano per addetti IT rubano oltre 1 miliardo di dollari in un attacco informatico

Gli hacker nordcoreani stanno intensificando le loro operazioni, fingendosi candidati per posizioni remote presso aziende multinazionali.

Questi hacker sfruttano i loro travestimenti per rubare segreti commerciali e sottrarre fondi in criptovaluta, contribuendo in modo significativo alle casse del regime.

I ricercatori della conferenza sulla sicurezza informatica Cyberwarcon hanno individuato due gruppi di hacker nordcoreani, Sapphire Sleet e Ruby Sleet, come attori chiave di queste frodi.

I loro metodi spaziano dal fingersi reclutatori al fingersi dipendenti di settori come quello aerospaziale.

Questa strategia ha già fruttato milioni al governo nordcoreano, infliggendo al contempo duri colpi alle aziende e alle criptovalute in tutto il mondo.

Nevischio zaffiro e nevischio rubino

Sapphire Sleet è emerso come una minaccia importante poiché prende di mira le aziende e gli investitori di criptovalute.

Il gruppo finge di essere un gruppo di reclutatori o capitalisti di rischio, organizzando riunioni virtuali per indurre le vittime a scaricare malware camuffati da strumento di risoluzione dei problemi.

Questi download dannosi consentono agli hacker di accedere a dati sensibili e risorse digitali.

In soli sei mesi, le operazioni di Sapphire Sleet hanno fruttato 10 milioni di dollari al regime nordcoreano.

Si ritiene che i fondi rubati servano a sostenere lo sviluppo di armamenti del Paese e ad aggirare le sanzioni economiche imposte dalla comunità internazionale.

Ruby Sleet adotta un approccio più mirato, concentrandosi sul furto di segreti commerciali nel settore aerospaziale.

Il gruppo si spaccia per dipendenti di aziende aerospaziali, infiltrandosi nei sistemi per ottenere l'accesso a informazioni riservate sullo sviluppo di armi e sulle tecnologie di navigazione.

Queste attività mirano a rafforzare le capacità militari della Corea del Nord, evidenziando il ricorso del regime alla criminalità informatica per promuovere i propri obiettivi strategici.

Il settore delle criptovalute perde 1,48 miliardi di dollari nel 2024

Secondo Immunefi, una delle principali piattaforme di bug bounty, il settore delle criptovalute ha subito perdite devastanti: solo nel 2024 gli hacker hanno rubato 1,48 miliardi di dollari.

Questa cifra include violazioni di alto profilo avvenute a novembre, durante le quali gli hacker hanno rubato 71 milioni di dollari su più piattaforme.

Le aziende di finanza decentralizzata (DeFi) sono state particolarmente vulnerabili. Thala, un protocollo DeFi, ha riportato una perdita di 26 milioni di $ dopo che gli aggressori hanno sfruttato il suo protocollo di liquidità.

Nonostante il congelamento di 11,5 milioni di dollari in asset, tra cui il token nativo THL e Move Dollar (MOD), l'azienda continua a fare i conti con le conseguenze della violazione.

Tra le altre vittime degne di nota ci sono Dexx e Polter Finance, che hanno perso rispettivamente 21 e 12 milioni di dollari in attacchi separati.

Queste violazioni hanno sollevato preoccupazioni circa la solidità delle misure di sicurezza DeFi e hanno evidenziato la necessità di misure di salvaguardia più rigorose per proteggere gli asset.

DeltaPrime, un'altra piattaforma DeFi, ha segnalato una perdita di 4,75 milioni di dollari l'11 novembre, evidenziando ulteriormente la vulnerabilità del settore.

Crescenti preoccupazioni sulla sicurezza informatica per le aziende globali

I risultati del Cyberwarcon evidenziano la crescente sofisticatezza delle minacce informatiche.

Fingendosi dipendenti legittimi, gli hacker nordcoreani sfruttano la crescente dipendenza dal lavoro da remoto, notevolmente aumentata dopo l'inizio della pandemia di COVID-19.

Questa strategia consente loro di aggirare le misure di sicurezza tradizionali, ottenendo l'accesso a dati sensibili e sistemi critici.

Le multinazionali di tutti i settori sono a rischio: i principali obiettivi sono le aziende IT, le aziende aerospaziali e le piattaforme di criptovalute.

La duplice minaccia di perdite finanziarie e di compromissione della proprietà intellettuale ha reso ancora più urgente per le organizzazioni adottare misure avanzate di sicurezza informatica e sottoporre a severi controlli i candidati che lavorano da remoto.

Rafforzare le difese contro gli attacchi informatici

Il settore delle criptovalute e altri settori interessati devono implementare protocolli più rigorosi per mitigare i rischi.

Alcune misure che potrebbero rafforzare le difese sono l'autenticazione a più fattori, i framework zero-trust e i processi di controllo avanzati per i lavoratori da remoto.

La collaborazione con le aziende di sicurezza informatica per identificare le vulnerabilità e rispondere rapidamente alle violazioni può aiutare a ridurre al minimo i danni.

Man mano che gli hacker diventano più sofisticati, la posta in gioco per le aziende globali e per il settore delle criptovalute continua ad aumentare.

Per proteggere i beni e i segreti commerciali è necessario un approccio proattivo alla sicurezza informatica, con un monitoraggio e un miglioramento continui delle difese per anticipare le minacce in continua evoluzione.