L’échange de crypto-monnaie BTC-Alpha confirme une attaque de ransomware


L’échange de crypto-monnaie BTC-Alpha a subi une attaque de ransomware au début du mois, et le fondateur de la société a blâmé un concurrent.

Des informations faisant état d’une attaque potentielle ont fait surface la semaine dernière lorsque la société de renseignement sur les menaces DarkTracer a publié sur Twitter une capture d’écran d’un site de fuite public exploité par le groupe de ransomware Lockbit qui prétendait avoir crypté les données de BTC-Alpha. Lockbit a menacé de fuite les données volées si une rançon n’était pas payée d’ici le 1er décembre. Le même jour, un communiqué de presse sur PRLeap du fondateur et PDG d’Alpha, Vitalii Bodnar, affirmait que l’attaque était l’œuvre d’une société de crypto-monnaie concurrente.

BTC-Alpha n’a pas publié de déclaration publique sur son site Web.

Dans une conversation Telegram avec SearchSecurity, BTC-Alpha a confirmé qu’il avait été « piraté début novembre » et que le travail sur la plate-forme de crypto-monnaie basée au Royaume-Uni avait déjà repris. Interrogé sur la déclaration de PR Leap de Bodnar, Alpha a déclaré à SearchSecurity que « Vitalii Bodnar a l’impression qu’un concurrent est responsable de l’attaque ».

Bien que la société n’ait pas révélé quel concurrent, selon elle, est à l’origine de l’attaque, de plus amples informations sur l’incident ont été fournies sur la chaîne officielle Telegram de l’échange.

Chronologie de l’attaque BTC-Alpha

Le 1er novembre, jour du cinquième anniversaire d’Alpha, l’échange de crypto-monnaie a alerté les clients et les partenaires via Telegram que la maintenance technique était terminée dans le réseau Velarium de l’entreprise. On ne sait pas si cela était lié à l’attaque, mais trois jours plus tard, la bourse a émis une autre alerte indiquant qu’elle avait « trouvé toutes les vulnérabilités qui ont rendu un piratage possible ». Selon cette alerte, tous les fonds étaient « sûrs et sécurisés » et il estimait que l’échange serait rétabli dans quatre à cinq jours ouvrables.

Cependant, dans une mise à jour quelques heures plus tard, après « réévaluation de l’état de préparation pour une reprise en toute sécurité », le temps d’arrêt estimé est passé à 10 jours. Le 16 novembre, un nouveau message Telegram a annoncé que le site Web BTC-Alpha était de retour, bien que l’application soit restée en panne jusqu’au 20.

Dans un autre article de Telegram, BTC-Alpha a qualifié l’incident d' »attaque de pirate informatique infructueuse ». Dans la déclaration sur PRLeap, Bodnar a déclaré que les cybercriminels avaient tenté de voler des fonds mais « avaient échoué » et qu’après la tentative de vol, il avait reçu des menaces de violence de la part d’individus anonymes.

« Ce sont les méthodes de nos concurrents, avec qui nous avons refusé de coopérer et d’ajouter leurs pièces à notre plateforme. Ils lancent leur échange et le même jour il y a une attaque massive contre nous. Je ne crois pas à des coïncidences comme ça,  » Bodnar a déclaré dans le communiqué de presse.

Bodnar a déclaré que bien que les mots de passe hachés aient été compromis, les soldes des utilisateurs n’ont pas été affectés et l’entreprise n’a perdu aucun argent. Cependant, les utilisateurs ont exprimé des préoccupations telles que l’impossibilité de se connecter à des comptes à l’aide de l’authentification multifacteur et l’impossibilité de retirer des fonds.

Une fois les opérations normales rétablies, BTC-Alpha a recommandé aux utilisateurs un certain nombre de mesures à prendre. Cela comprenait la mise à jour de l’application, la vérification des comptes et la confirmation de la vérification lors du retrait de fonds, ainsi que la création de nouvelles clés API car les anciennes ont été supprimées.

Dans une vidéo publiée sur Telegram, Bodnar a déclaré que tous les utilisateurs de BTC-Alpha seraient « forcés d’utiliser l’authentification à deux facteurs » (2FA), qui est désormais obligatoire. De plus, il a déclaré qu’Alpha recommande fortement de ne pas utiliser un ancien mot de passe car ils « le trouvent comme compromis ».

Le gouvernement américain a récemment réprimé les échanges de crypto-monnaie dans le but de lutter contre les gangs de rançongiciels, qui s’appuient sur des échanges et des mélangeurs pour déplacer et masquer les paiements de rançon. Par exemple, des sanctions ont été prononcées contre une autre bourse, Suex, en septembre.

Bien qu’il ne semble pas courant que les échanges de crypto-monnaie soient victimes d’une attaque de ransomware, l’analyste des menaces d’Emsisoft, Brett Callow, a déclaré que ce n’était pas le premier cas. Callow a également déclaré que de nombreuses questions subsistent autour de l’affaire BTC-Alpha, notamment si un ransomware de cryptage de fichiers a été déployé et quels types et quantités de données ont été volés.



Laisser un commentaire