Kraken weigert losgeld na interne afpersingspoging die 2.000 accounts treft

Kraken weert een criminele afpersingspoging nadat ongepaste interne toegang gegevens van ongeveer 2.000 accounts blootlegde, maar zegt dat er geen systemische inbreuk of risico voor klantfondsen is.

Cryptocurrency-exchange Kraken zegt dat het wordt gechanteerd door een criminele organisatie die beweert video's te hebben die toegang tot de interne systemen van het bedrijf tonen, maar heeft gezworen geen losgeld te betalen en houdt vol dat klantfondsen veilig blijven. In een verklaring geciteerd door CoinDesk, benadrukte het platform dat er "geen systemische inbreuk" was op zijn handelsinfrastructuur of wallets, en beschreef het incident als een gericht misbruik van interne toegang in plaats van een succesvolle hack van kernsystemen.

Kraken zei dat de episode voortvloeit uit ongepaste toegang door individuen gekoppeld aan zijn klantenserviceoperatie in twee afzonderlijke incidenten, die samen beperkte gegevens op ongeveer 2.000 accounts blootlegden, of ongeveer 0,02% van zijn totale gebruikersbestand. Die gebruikers zijn op de hoogte gebracht, voegde de exchange toe, terwijl de betrokken personen hun inloggegevens ingetrokken hebben gekregen en zijn afgesloten van interne tools terwijl Kraken de monitoring en toegangscontroles aanscherpt.

Chief security officer Nick Percoco, die eerder een afzonderlijke exploit van $3 miljoen van Kraken's systemen "geen white hat hacking, maar afpersing" noemde, zei dat het bedrijf de nieuwe bedreigingen opnieuw als een criminele aangelegenheid behandelt en samenwerkt met wetshandhaving. Hij vertelde verslaggevers dat Kraken gelooft voldoende bewijs te hebben "om te identificeren en te helpen arresteren" degenen achter de laatste afpersingspoging en herhaalde dat het platform niet zal onderhandelen met actoren die proberen interne toegang te gelde te maken.

Volgens de beschrijving van het bedrijf weerspiegelt de aanval een stijgend patroon van "interne infiltratie + social engineering", waarbij buitenstaanders werken om mensen binnen serviceorganisaties te compromitteren of te rekruteren om alleen-lezen toegang, verkenningsbeelden of beperkte klantgegevens te verkrijgen in plaats van direct verharde walletsystemen aan te vallen. Eerder dit jaar leidde een dark-web vermelding die $1 toegang tot Kraken's interne supportpanel en KYC-gegevens claimde tot vergelijkbare zorgen, hoewel de exchange geen inbreuk bevestigde en beveiligingsonderzoekers waarschuwden dat zelfs alleen-lezen toegang tot supporttools kon worden bewapend voor phishing en gerichte oplichting.

De nieuwe afpersingspoging komt na een afzonderlijk incident in maart waarin een Kraken-gebruiker naar verluidt ongeveer 7.784 ETH en 26,5 BTC verloor — ter waarde van ongeveer $18,2 miljoen — aan een geavanceerd social-engineering schema voordat de fondsen naar HitBTC werden verplaatst, wat het spectrum van bedreigingen onderstreept waarmee zowel platforms als klanten worden geconfronteerd. Zoals blockchain-analysebedrijf EmberCN en anderen hebben opgemerkt, kunnen zelfs waar exchange-schatkisten en hot wallets ongecompromitteerd blijven, tekortkomingen in menselijke controles — van klantenservicetoegang tot gebruiker opsec — nog steeds vertalen in grote verliezen en reputatieschade.

Voor Kraken is de laatste zaak een stresstest van zijn langgeprezen beveiligingscultuur, die verplichte tweefactorauthenticatie, hardware-key ondersteuning en regelmatige openbare berichten van Percoco over best practices voor accountbescherming omvat. Voor de bredere industrie is het nog een herinnering dat in een markt waar een enkele gecompromitteerde inloggegevens miljoenen dollars voor aanvallers kan bungelen, de grootste risico's vaak liggen op het kruispunt van interne toegang, menselijke fouten en ouderwetse afpersing — niet alleen in zero-day code.