Hacker colleziona i dati dei clienti di Crypto Wallet; Seguono gli attacchi attivi

Lunedì un hacker ha scaricato dati sensibili rubati all’inizio di quest’anno  dal sito web del portafoglio di criptovaluta Ledger. I dati sono stati messi in palio su siti frequentati da criminali. E in una svolta che non ha sorpreso nessuno, i dati vengono ora attivamente sfruttati nelle campagne di phishing.

Secondo un rapporto di BleepingComputer, i ricercatori della società di sicurezza Cyble hanno scoperto i file della fuga di Ledger pubblicata lunedì su un forum di hacker.

Un archivio include due file denominati “Tutti i messaggi di posta elettronica (abbonamento) .txt” e “Solo ordini contabili (acquirenti ).txt” che contengono dati sensibili dalla violazione. Il primo include indirizzi e-mail di 1.075.382 persone che si sono iscritte alla newsletter di Ledger, secondo il rapporto.

Il “Ledger Orders (Buyers) only.txt” rivela dati più sensibili, poiché contiene i nomi e gli indirizzi postali di 272.853 persone che hanno acquistato un dispositivo Ledger, hanno detto i ricercatori a BleepingComputer.

Cosa c’è in palio

Ledger offre portafogli di criptovaluta basati su hardware, i cui prodotti sono inoltre selezionati tra i 7 BEST Bitcoin Hardware Wallets for Crypto Storage da Guru99, protetti da una frase di ripristino di 24 parole e una passphrase segreta opzionale che solo il proprietario conosce, dove i clienti possono archiviare, gestire e vendere criptovaluta. I portafogli di criptovaluta sono progettati per archiviare le chiavi pubbliche e private utilizzate per ricevere o spendere una specifica criptovaluta e sono considerati un’alternativa più sicura rispetto alla memorizzazione di queste informazioni su un computer.

Un portavoce di Ledger ha detto in una e-mail lunedì che “il contenuto scaricato potrebbe essere il database di e-commerce di Ledger che è stato esposto durante la violazione dei dati nel giugno 2020”, sebbene la società stia ancora indagando.

“Questo database può essere utilizzato dai truffatori per attacchi di phishing tramite campagne di e-mail e messaggi di testo”, ha affermato il portavoce.

Ledger ha lavorato per informare gli utenti interessati tramite Twitter e rispondere alle domande dei clienti, segnalando anche tutti i tweet e i post di Reddit che contengono un collegamento al database, ha detto il portavoce a Threatpost. Nel frattempo, la società esorta gli utenti a non condividere mai la loro frase di 24 parole e tieni presente che nessuno del team di Ledger richiederebbe tali informazioni private.

Furto di giugno

I funzionari di Ledger sono venuti a conoscenza di una violazione avvenuta a giugno il 14 luglio, quando un ricercatore che partecipava al suo programma di bug bounty li ha informati di un potenziale problema con il sito Web dell’azienda, secondo un post sul blog della società pubblicato il 29 luglio.

Mentre l’attacco iniziale è stato rapidamente mitigato, il portafoglio di criptovaluta è stato nuovamente attaccato il 25 giugno “da una terza parte non autorizzata che ha avuto accesso al nostro database di e-commerce e marketing“, ha detto la società.

L’accesso ai file consisteva principalmente in indirizzi e-mail, ma anche dettagli di contatto e ordine per i clienti ai quali Ledger invia conferme d’ordine ed e-mail promozionali. All’epoca, Ledger assicurava ai clienti che le loro “informazioni di pagamento e fondi crittografici sono al sicuro“.

La società ha collaborato con un’organizzazione di sicurezza esterna per condurre una revisione forense dell’attacco e ha confermato che ha avuto un impatto solo su 9.500 persone, tutte contattate personalmente dal supporto di Ledger, ha detto il portavoce.

Origini dell’attacco

L’hack originale risale a una chiave API che dava a una terza parte non autorizzata l’accesso a una parte del database di e-commerce e marketing di Ledger. L’azienda ha disattivato la chiave subito dopo aver appreso della situazione, hanno detto i funzionari.

Tuttavia, ci sono prove che gli autori delle minacce abbiano utilizzato le e-mail rubate da Ledger per colpire i clienti con attacchi di phishing, secondo una ricerca di ProofPoint. Gli aggressori utilizzano messaggi che affermano di provenire dalla società per informarli che le loro risorse di Ledger potrebbero essere state compromesse o sono a rischio in qualche modo.

Se una vittima abbocca, gli aggressori backdoor l’applicazione Ledger Live, che consente loro di rubare le frasi di recupero degli utenti che a loro volta possono essere utilizzate da un attore “per generare una copia delle chiavi private dell’utente, consentendo loro di rubare qualsiasi valute associate a quelle chiavi private “, secondo ProofPoint.

Bersaglio allettante

In effetti, i portafogli di criptovaluta sono stati un obiettivo per gli hacker a causa del potenziale di guadagno finanziario. E sebbene siano effettivamente considerati un luogo sicuro in cui gli utenti possono archiviare le proprie risorse di criptovaluta, i ricercatori nel 2018 hanno dimostrato che portafogli come Ledger e Trezor sono vulnerabili a una serie di diversi tipi di attacchi informatici.

Da allora sembra che gli attori della minaccia abbiano preso queste informazioni e le abbiano seguite. Prima dell’attacco di luglio a Ledger, i ricercatori hanno scoperto campagne diffuse che diffondevano estensioni del browser dannose che abusavano di Google Ads e di noti marchi di criptovaluta tra cui Ledger per attirare le vittime e alla fine rubare le credenziali del loro portafoglio di criptovaluta. Altri portafogli presi di mira nella campagna includevano Electrum, Exodus, Jaxx, KeepKey, MetaMask, MyEtherWallet e Trezor.