Ripple deelt nu exclusieve dreigingsinformatie over Noord-Koreaanse (Democratic People’s Republic of Korea – DPRK) cyberactoren met Crypto ISAC, een non-profitorganisatie die crypto-bedrijven helpt om veiligheidsinformatie uit te wisselen en zich te verdedigen tegen cyberdreigingen gericht op digitale assets.
De informatie gaat over domeinen, wallets en indicatoren van compromittering die afkomstig zijn uit actieve hackcampagnes van Noord-Korea. Er zijn ook uitgebreide profielen van vermoedelijke Noord-Koreaanse IT-werknemers die proberen te infiltreren bij crypto-bedrijven.
Drift-hack leidde tot schokgolf in de sector
De Drift-hack was een wake-upcall voor de sector. Aanvallers bouwden maandenlang vertrouwen op met Drift-bijdragers. Daarna zetten ze schadelijke software in die apparaten compromitteerde en traditionele indicatoren van inbraak wist te omzeilen.
De indringers manipuleerden mensen om controle te krijgen over multisig wallets en stalen zo geld.
Dezelfde werkwijze kwam voor bij zowel crypto-bedrijven als traditionele financiële bedrijven. Noord-Koreaanse bedreigingsactoren opereren steeds vaker van binnenuit organisaties, in plaats van te vertrouwen op smart contract exploits.
Crypto ISAC noemde deze campagne een nieuw niveau van social engineering. Het artikel stelde de centrale vraag: hoe herken je iemand die als een betrouwbare partner overkomt?
Inzicht in de DPRK dreigingsinformatie
De gedeelde informatie bestaat uit frauduleuze domeinen en wallets en indicatoren van compromittering uit actieve DPRK-hackpogingen.
Elk profiel van een vermoedelijke DPRK-medewerker bevat een LinkedIn-account, een e-mailadres, locatiegegevens en een telefoonnummer. De gegevens koppelen deze persoon bovendien aan bredere hackcampagnes.
Ripple, Coinbase en andere oprichters integreren deze informatie via de nieuwe API van Crypto ISAC. Het systeem normaliseert indicatoren in zowel Web2- als Web3-omgevingen en stuurt ze direct door naar de beveiligingsafdelingen van aangesloten leden.
“Te lang werd informatie delen als optioneel gezien. Nu is het de gouden standaard voor veiligheid,” zei Justine Bone, Executive Director van Crypto ISAC.
Waarom collectieve verdediging belangrijk is
Een dreigingsactor die bij het ene bedrijf niet door de screening komt, solliciteert vaak binnen dezelfde week bij drie andere bedrijven. Crypto ISAC zegt dat zonder gedeelde informatie elke verdediger die tegen Lazarus-tactieken vecht, altijd opnieuw moet beginnen bij nul.
Jeff Lunglhofer, Chief Information Security Officer van Coinbase, zei dat het datamodel context en betrouwbaarheid bewaart in plaats van alleen ruwe indicatoren.
Het model moet zich nog uitbreiden naar meer bedrijven. Of het sneller werkt dan incidenten zoals de Kraken-infiltratiepoging, hangt af van hoeveel bedrijven het gaan gebruiken.
De bijdrage van Ripple bouwt voort op het bredere beveiligingsinitiatief van het bedrijf. Deze stap laat zien dat de sector meer samen wil werken aan gezamenlijke verdediging. In de komende maanden wordt duidelijk of andere grote beurzen en protocollen dit voorbeeld volgen.
