Dipendenti di Godaddy presi di mira e usati per attaccare servizi cripto

Diversi crypto exchange con dominio comprato attraverso GoDaddy hanno segnalato modifiche non autorizzate

Il servizio di registrazione di domini di livello mondiale GoDaddy, è impegnata nel proteggere i propri dipendenti dopo che l’azienda ha scoperto che essi erano stati presi di mira e usati per condurre attacchi a diversi servizi operanti con le criptovalute.

Le fonti segnalano che i colpevoli, che non sono ancora stati identificati, la scorsa settimana hanno reindirizzato il traffico e-mail e web originariamente destinato a diverse piattaforme di trading con criptovalute. L’ultimo incidente è occorso il 13 novembre a Liquid.com, una piattaforma di trading con criptomonete.

L’amministratore delegato, Mike Kayamori, ha affermato in un comunicato relativo alla sicurezza che “il fornitore di hosting e domini ‘GoDaddy’ che gestisce uno dei nostri nomi di dominio principali ha erroneamente trasferito il controllo dell’account e del dominio a un attore malintenzionato”.

A seguito di questo incidente, anche la società di mining NiceHash ha scoperto che alcune delle sue impostazioni per la registrazione dei suoi record di dominio tenuti su GoDaddy erano state modificate senza autorizzazione. Ciò significa che per un breve periodo di tempo ha reindirizzato la posta elettronica e il traffico web del sito.

“Nelle prime ore del mattino del giorno 18 novembre 2020, il dominio di NiceHash risultava non raggiungibile. Il registrar di dominio GoDaddy ha avuto problemi tecnici e, a seguito di un accesso non autorizzato alle impostazioni del dominio, i record DNS per il dominio NiceHash.com sono stati modificati”, ha spiegato l’azienda ai suoi utenti in un blog post.

Nessun fondo è stato rubato, ma le attività non autorizzate sono state fatta de un indirizzo internet registrato presso GoDaddy. Gli aggressori avrebbero anche provato a completare il reset delle password su diversi servizi di terze parti, tra cui Slack e Github.

Non è la prima volta che GoDaddy si fa trovare impreparata sulla sicurezza informatica. A marzo di quest’anno la società è stata colpita da una attività di phishing che ha permesso ai pirati informatici di prendere il controllo di oltre mezza dozzina di domini e 28 mila account di web hosting sono stati compromessi invece a maggio.

Una ricerca condotta da Farsight Security indica che diverse altre piattaforme cripto come Bibox, Celsius Network e Wirex potrebbero essere state prese di mira dallo stesso gruppo.

In merito all’accaduto un portavoce di GoDaddy ha dichiarato che il team della sicurezza aziendale “ha investigato e confermato l’attività dei pirati informatici, compresa l’attività di ingegneria sociale su un numero limitato di dipendenti di GoDaddy”.

Il portavoce non ha però spiegato come i suoi dipendenti sono stati attirati nella trappola, spiegando che è ancora in corso una inchiesta interna.