Na bijna een jaar zijn de gevolgen van het grote datalek van Ledger nog steeds voelbaar. Een medewerker van het r/Ledgerwallet-forum op Reddit, heeft afbeeldingen gepost van wat lijkt op een nep Ledger Nano X-wallet die per post is ontvangen. Deze medewerker schrijft onder de tag u/jjrand en identificeert zichzelf als een van degenen die door de inbreuk zijn getroffen.
Het apparaat was verpakt in een ogenschijnlijk authentieke verpakking. Toch bevatte het verschillende verklikkers die het vermoeden van de bijdrager wekten. Het pakket kwam samen met een slecht geschreven brief die beweerde te zijn ondertekend door Ledger-CEO Pascal Gauthier, wat het meest schokkende was. Hierin werd aan de ontvanger verteld dat om veiligheidsredenen ze de ontvanger een nieuw apparaat hebben gestuurd.
Verder dat de ontvanger moet overschakelen naar een nieuw apparaat om veilig te blijven. En dat er een handleiding in de nieuwe doos zit die de ontvanger kan lezen om te leren hoe het nieuwe apparaat in te stellen. Om deze reden hebben ze hun apparaat structuur gewijzigd en garanderen ze nu dat dit soort inbreuk nooit meer zal gebeuren, staat in de brief.
u/jjrand ontving ook een valse handleiding, los van de brief, met instructies over hoe het apparaat te gebruiken. En heel cruciaal, aan de gebruiker wordt gevraagd om hun persoonlijke Ledger-herstelzin in te voeren om hun cryptocurrency-wallet te verbinden met de nieuwe hardware. Afbeeldingen die de printplaat van het apparaat laten zien, werden geüpload naar Reddit.
Mike Grover, beveiligingsonderzoeker, vertelde op basis hiervan aan BleepingComputer dat er met het nepapparaat was geknoeid. Grover zei dat het een simpele flashdrive lijkt te zijn die aan de Ledger is vastgemaakt met als doel een soort van malware-levering te zijn. Hij legde uit dat alle componenten zich aan de andere kant bevinden en dat hij dus niet kan bevestigen of het ALLEEN een opslagapparaat is.
Het is echter waarschijnlijk gewoon een standaard mini-flashdrive die is verwijderd uit zijn behuizing, afgaand op het zeer slecht soldeerwerk, volgens Grover. Een gedeelte van de achterkant van het apparaat werd door hem benadrukt. Hierop is het implantaat van de flashdrive te zien en Grover merkte op dat die 4 draden meeliften op dezelfde verbindingen voor de USB-poort van de Ledger.
Het lijkt erop dat de overval is ontworpen om de ingevoerde herstelzin van de gebruiker te onderscheppen, op basis van de analyse van Grover en BleepingComputer. Hiermee worden de details omgeleid naar een apparaat dat wordt beheerd door de oplichters. Deze kunnen zij daarna gebruiken om de bijbehorende cryptocurrency-holdings te stelen.
Ledger had klanten al gewaarschuwd in een online bericht van 10 mei voor de nepbrief en het nepapparaat, maar niet geciteerd door u/jjrand. In het bericht stond dat de valse gebruikershandleiding in de doos van de Nano aan de gebruiker vraagt om het apparaat op een computer aan te sluiten. Daarna wordt de gebruiker gevraagd om zijn 24 woorden in te voeren in een nep Ledger Live-toepassing, om het apparaat te starten.
Verder staat er dat dit oplichterij is en dat de gebruiker het apparaat niet aan zijn of haar computer moet aansluiten. En dat je nooit jouw 24 woorden moet delen. Tenslotte stond er nog in het bericht dat Ledger nooit aan de gebruiker zal vragen om de herstelzin van 24 woorden te delen.
De waarschuwing is opgenomen in Ledger’s online-lijst met phishing-campagnes waarvan het bedrijf op de hoogte is. Toch is het onduidelijk of het bedrijf rechtstreeks contact heeft opgenomen met gebruikers, met name degenen van wie de gelekte details hen vatbaarder maken voor de lijst. Andere gevolgen van het datalek waren onder meer dat Ledger-gebruikers e-mails ontvingen van afpersers die met fysiek geweld of andere criminele aanvallen dreigen, zoals eerder gemeld.
In juni en juli 2020 vond het oorspronkelijke datalek plaats en omvatte 1.075.382 e-mailadressen van gebruikers die waren geabonneerd op de Ledger-nieuwsbrief. Het ging vooral ook om het lekken van persoonlijke informatie, inclusief thuisadressen, in verband met 272.853 hardware-wallets bestellingen.
