Una investigación realizada el equipo de ciberseguridad Talos, de Cisco informó del robo de 50 millones de dólares en criptomonedas.
Un grupo de piratas informáticos ucranianos apodado Coinhoarder robó más de 50 millones de dólares en criptomonedas a los usuarios de Blockchain.info, uno de los proveedores más populares de divisas digitales, según un informe publicado en días pasados por el equipo de ciberseguridad Talos, de Cisco.
El informe explica cómo los ladrones atacaron a sus víctimas usando una técnica “muy simple” pero traicionera: comprar anuncios de Google en palabras clave de búsquedas populares relacionadas con la criptomoneda “para envenenar los resultados de búsqueda de usuarios” y arrebatar el contenido de las billeteras criptográficas.
“Los atacantes solo necesitaban continuar comprando Google AdWords para garantizar un flujo constante de víctimas”
– Talos
Esto significaba que las personas que buscaban en Google términos como “blockchain” o “bitcoin wallet” veían enlaces a sitios web maliciosos que se enmascaraban como dominios legítimos para las carteras de Blockchain.info.
Por ejemplo, los anuncios maliciosos incluían enlaces falsificados con errores pequeños como “blokchien.info/wallet” y “block-clain.info”, que enviaban visitantes a una página de destino que reflejaba sitios web reales de la empresa Blockchain, según el informe de Cisco.
Se les engañó haciéndoles creer que habían llegado al lugar correcto, luego las víctimas ingresaron información privada que permitía a los piratas informáticos acceder a sus cuentas reales y tomar su dinero digital.
“Los atacantes solo necesitaban continuar comprando Google AdWords para garantizar un flujo constante de víctimas”, explicó la investigación de Talos, liderada por Jeremiah O’Connor y Dave Maynor.
Respuesta ante el caos
La empresa Blockchain, por su parte, está trabajando con Google “diariamente” para eliminar los avisos de phishing y aseguró la eliminación de casi 10,000 de esos enlaces maliciosos el año pasado, junto con otros 3,000 que descubrió en enero, de acuerdo a Peter Smith, CEO y cofundador.
“Más allá de nuestro trabajo para eliminar dichos anuncios, nos comprometemos a educar y armar a nuestros usuarios con las herramientas necesarias para protegerse de tales ataques”, dijo Smith en un comunicado. “Desafortunadamente, este es un problema generalizado que se extiende mucho más allá de nuestra compañía e industria”.
La publicidad digital hizo que Facebook prohibiera todos los anuncios de criptomonedas
Cisco, que investigó la “campaña masiva de phishing” durante más de seis meses en asociación con la ciber policía de Ucrania, señaló que el método del grupo Coinhoarder se ha vuelto cada vez más común, con atacantes cada vez más adaptados a los obstáculos que se les presenten.
La publicidad digital hizo que Facebook prohibiera todos los anuncios de criptomonedas a principios de este año y Google también está trabajando para erradicar los anuncios abusivos.
Los robos por parte de Coinhoarder ocurrieron en un transcurso de tres años, pero aumentaron a finales de 2017 debido a que los precios de Bitcoin se dispararon cerca de 20,000 dólares, con 10 millones dólares robados entre septiembre y diciembre.
En una explosión, los piratas informáticos lograron dos millones de dólares en menos de cuatro semanas, dijeron los investigadores de Talos.
Es posible que el valor de la recompensa de los ladrones sea de más de 50 millones ahora, ya que Talos basó sus cálculos en los precios de las criptomonedas en el momento del robo.
¿Hay solución?
El phishing, que es solo una de las varias técnicas utilizadas para robar Bitcoin, también lo implementa el célebre grupo hacker norcoreano conocido como Grupo Lazarus, que también es acusado de perpetrar ataques de phishing para robar criptomonedas.
Cisco descubrió que la estafa de Coinhoarder atrapó desproporcionadamente a aquellos de las regiones menos bancarizadas donde la criptomoneda se ha convertido en un medio alternativo de almacenar riqueza: los residentes de países africanos como Nigeria y Ghana constituyeron la mayoría de los que aterrizaron en sitios web malignos.
Desenmascarar al ladrón o ladrones es más difícil, ya que las direcciones de Bitcoin son seudónimas y no contienen el nombre de la persona a la que pertenecen.
Pero los investigadores de Talos de Cisco están buscando pistas en internet, incluidos foros como Reddit, donde las víctimas de Coinhoarder han discutido sobre el robo.
“Aunque identificar al individuo que posee una cuenta específica es extremadamente difícil, aún podemos buscar inteligencia de código abierto que rodee la misma”, expresaron los investigadores en el informe.
Un día, las víctimas podrían incluso recuperar su dinero, aunque esos resultados exitosos son extremadamente raros.