Nordkoreanska hackare stal 1,5 miljarder dollar från Bybit i historiens största kryptorån

Bybit, en stor kryptovalutabörs, har bekräftat att 1,5 miljarder dollar i Ethereum stals i en attack den 21 februari. FBI har kopplat intrånget till Lazarus-gruppen från Nordkorea, vilket gör det till det största kryptorånet hittills.

Hackarna utnyttjade en sårbarhet i Bybits Ethereum cold wallet, manipulerade Safe{Wallet}-plattformen och genomförde en bedräglig transaktion. Över 400 000 ETH och stETH överfördes till en okänd adress.

Efter intrånget har blockchain-forskare, inklusive ZachXBT, Elliptic och TRM Labs, spårat de stulna medlen och hittat kopplingar till tidigare attacker mot Phemex, BingX och Poloniex, alla länkade till Lazarus-gruppen.

Bybit har försäkrat användare att alla andra wallets är säkra och att uttag behandlas som vanligt, även om vissa fördröjningar kan förekomma. FBI har utfärdat en offentlig varning och uppmanar kryptotjänster att blockera transaktioner från 51 Ethereum-adresser kopplade till attacken, då hackarna försöker tvätta pengarna.

Have I Been Pwned (HIBP) har lagt till 284 miljoner stulna konton från infostealer-malware

Tjänsten för dataintrångsmeddelanden Have I Been Pwned (HIBP) har lagt till 284 miljoner komprometterade konton, som stulits av infostealer-malware och delats på en Telegram-kanal vid namn “ALIEN TXTBASE”.

HIBP:s grundare, Troy Hunt, upptäckte dessa konton under analysen av 1,5 TB av stulna loggar, som innehöll 23 miljarder dataposter, inklusive 493 miljoner unika webbplats- och e-postpar. Dessutom har 244 miljoner nya lösenord lagts till i databasen Pwned Passwords.

De stulna uppgifterna, sannolikt samlade från flera dataintrång och credential stuffing-attacker, verifierades innan de lades till. Nya API:er gör det nu möjligt för domänägare och webbplatsoperatörer att söka efter komprometterade kundkonton.

Vanliga användare kan kontrollera om deras e-post finns med via HIBP:s notifieringar, men detaljer förblir privata av säkerhetsskäl. Detta följer tidigare uppdateringar, inklusive 12 miljoner Zacks Investment-konton tidigare denna månad och 441 000 konton stulna av RedLine-malware 2021.

Storbritannien leder Europa i malware-attacker, enligt NordVPN

En ny rapport avslöjar att Storbritannien har den högsta andelen malware-attacker i Europa, med över 669 miljoner incidenter blockerade förra året. Rapporten visar en kraftig ökning av cyberhot, särskilt genom phishing-mejl, skadliga länkar och mjukvarusårbarheter.

Cyberkriminella imiterar stora varumärken som Google, Facebook och Microsoft för att stjäla personlig information. Google var det mest imiterade varumärket 2024, med 85 000 falska URL:er upptäckta. Digitala bedrägerier ökar även under julhandeln, med 54 miljoner försök blockerade mellan augusti och december.

Gratis videotjänster, som YouTube och Dailymotion, samt anime-streamingsajter, utgör allvarliga cybersäkerhetsrisker. NordVPN blockerade 1,5 miljarder malware-infektioner på dessa plattformar 2024.

Experter uppmanar användare att verifiera länkar, vara vaksamma mot phishing-mejl och hålla mjukvaran uppdaterad för att förhindra cyberattacker.

EncryptHub riktar in sig på globala organisationer med spear-phishing-attacker

Cyberhotaktören EncryptHub (även känd som Larva-208) har riktat in sig på organisationer världen över genom spear-phishing och social ingenjörskonst sedan juni 2024, enligt en rapport från Prodaft. Gruppen har komprometterat minst 618 organisationer, där de installerat RMM-mjukvara, infostealers som Stealc och Rhadamanthys, samt ransomware.

EncryptHub är kopplat till RansomHub och BlackSuit, men använder ibland en egen PowerShell-baserad krypterare. Gruppen imiterar inloggningssidor för företags-VPN, såsom Cisco AnyConnect, Fortinet och Microsoft 365, och stjäl inloggningsuppgifter samt MFA-sessionstokens i realtid.

Hackarna använder bulletproof hosting och har registrant över 70 falska domäner för att öka trovärdigheten. När de får tillgång till systemen installerar EncryptHub RMM-verktyg som AnyDesk och TeamViewer för att behålla kontrollen och stjäla data.

Prodaft varnar för att EncryptHubs avancerade social engineering-tekniker och obfuskeringsmetoder gör det till ett allvarligt cyberhot för högvärdiga mål.

3,2 miljoner användare drabbade av attack mot Chrome-tillägg

En stor säkerhetsöverträdelse har drabbat över 3,2 miljoner Chrome-användare, där 16 populära tillägg, inklusive Adblock for Chrome och WAToolkit, kapades för att injicera skadliga skript som använts för bedrägeri och manipulerad affiliatetraffic.

Säkerhetsforskare upptäckte att angriparna kapade utvecklarkonton, använde supply chain-attacker och distribuerade skadliga uppdateringar utan användarnas vetskap. De kapade tilläggen, som ursprungligen var designade för annonsblockering, skärmdumpning och emoji-tangentbord, modifierades för att stjäla data, ändra HTTP-förfrågningar och injicera annonser på webbsidor.

Angreppet utnyttjade Chrome-tilläggsbehörigheter, såsom värdåtkomst och skriptkontroll, vilket gjorde det svårt att upptäcka. Forskare kopplade infrastrukturen till tidigare nätfiskeattacker riktade mot betrodda mjukvaruutvecklare.

Google har nu tagit bort de skadliga tilläggen, men användare uppmanas att avinstallera drabbade tillägg och noggrant granska behörigheter innan de installerar nya tillägg. Experter varnar för att supply chain-attacker mot betrodda mjukvaror är ett växande cybersäkerhetshot.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.