Texto original compilado por: Babywhale, Foresight News
El grupo de hackers norcoreano Lazarus parece haber intensificado sus operaciones recientemente: ha confirmado cuatro ataques contra empresas de criptomonedas desde el 3 de junio, y el reciente ataque al intercambio de criptomonedas CoinEx probablemente haya sido llevado a cabo por Lazarus. En respuesta, CoinEx emitió varios tweets indicando que aún se están identificando direcciones de billeteras sospechosas, por lo que el valor total de los fondos robados aún no está claro, pero es posible que haya alcanzado los 54 millones de dólares.
En los últimos 100 días, se ha confirmado que Lazarus robó casi 240 millones de dólares de Atomic Wallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares) y Stake.com (41 millones de dólares).
Como se muestra arriba, Elliptic analizó que algunos de los fondos robados de CoinEx se enviaron a la dirección utilizada por la organización Lazarus para almacenar fondos robados de Stake.com, aunque en una cadena de bloques diferente. Luego, los fondos se encadenaron a Ethereum a través de un puente de cadenas cruzadas previamente utilizado por Lazarus, y luego se enviaron de regreso a una dirección que se sabe que está controlada por los piratas informáticos de CoinEx. Elliptic ha observado este tipo de mezcla de fondos de diferentes piratas informáticos en el incidente de Lazarus, más recientemente cuando los fondos robados de Stake.com se mezclaron con fondos robados de la billetera Atomic. Estos casos de fondos de diferentes piratas informáticos combinados se muestran en naranja en la imagen a continuación.
Cinco ataques en más de 100 días
En 2022, se atribuyeron a Lazarus varios ataques de alto perfil, incluido un ataque al Puente Horizon de Harmony y un ataque al Puente Ronin de Axie Infinity, ambos ocurridos en la primera mitad del año pasado. Desde entonces hasta junio de este año, no se atribuyó públicamente a Lazarus ningún robo importante de criptomonedas. Por lo tanto, varios ataques de piratas informáticos en los últimos 100 días indican que los grupos de piratas informáticos norcoreanos se están volviendo activos nuevamente.
El 3 de junio de 2023, los usuarios de la billetera de criptomonedas descentralizada sin custodia Atomic Wallet perdieron más de $100 millones. Elliptic atribuyó oficialmente el hack a Lazarus el 6 de junio de 2023, después de determinar múltiples factores que apuntaban a que un grupo de hackers norcoreano era el responsable, lo que luego fue confirmado por el FBI.
El 22 de julio de 2023, Lazarus obtuvo acceso a una billetera activa perteneciente a la plataforma de criptopagos CoinsPaid a través de un ataque de ingeniería social. Este acceso permitió al atacante crear solicitudes de autorización para retirar aproximadamente 37,3 millones de dólares en criptoactivos de la billetera activa de la plataforma. El 26 de julio, CoinsPaid publicó un informe afirmando que Lazarus era responsable del ataque, lo cual fue confirmado por el FBI.
El mismo día, 22 de julio, Lazarus llevó a cabo otro ataque, esta vez dirigido al proveedor centralizado de criptopagos Alphapo, robando 60 millones de dólares en criptoactivos. Es posible que el atacante haya obtenido acceso a través de una clave privada filtrada previamente. Más tarde, el FBI confirmó que Lazarus fue el atacante en este incidente.
El 4 de septiembre de 2023, la plataforma de apuestas en criptomonedas en línea Stake.com fue atacada y se robaron aproximadamente 41 millones de dólares en criptomonedas, posiblemente debido al robo de claves privadas. El FBI emitió un anuncio el 6 de septiembre, confirmando que la organización Lazarus estaba detrás del ataque.
Finalmente, el 12 de septiembre de 2023, el intercambio centralizado de criptomonedas CoinEx fue víctima de un ataque de piratas informáticos y le robaron 54 millones de dólares. Como se mencionó anteriormente, múltiples pruebas apuntan a que Lázaro es responsable de este ataque.
¿Lázaro cambió sus "tácticas"?
El análisis de la última actividad de Lazarus muestra que desde el año pasado han cambiado su enfoque de los servicios descentralizados a los servicios centralizados. Cuatro de los cinco ataques recientes discutidos anteriormente estaban dirigidos a proveedores de servicios de criptoactivos centralizados. Antes de 2020, antes del rápido crecimiento del ecosistema DeFi, los intercambios centralizados eran el principal objetivo de Lazarus.
Hay varias explicaciones posibles de por qué Lazarus vuelve a centrar su atención en los servicios centralizados.
Preste más atención a la seguridad: la investigación anterior de Elliptic sobre los ataques de piratería DeFi en 2022 encontró que se producirá un ataque en promedio cada cuatro días en 2022, con un promedio de 32,6 millones de dólares robados por ataque. Los puentes entre cadenas se han convertido en uno de los tipos de protocolos DeFi más pirateados en 2022. Estas tendencias pueden haber impulsado mejoras en los estándares de desarrollo y auditoría de contratos inteligentes, reduciendo el alcance de los piratas informáticos para identificar y explotar vulnerabilidades.
Susceptibilidad a la ingeniería social: en numerosos ataques de piratería, el método de ataque elegido por el Grupo Lazarus fue la ingeniería social. Por ejemplo, el hackeo del puente Ronin, valorado en 540 millones de dólares, fue una "brecha" encontrada a través de oportunidades laborales falsas en LinkedIn. Sin embargo, los servicios descentralizados no suelen tener muchos empleados y, como su nombre indica, están descentralizados en diversos grados. Por lo tanto, obtener acceso malicioso a un desarrollador no necesariamente equivale a obtener acceso administrativo a un contrato inteligente.
Al mismo tiempo, es probable que los intercambios centralizados empleen una fuerza laboral relativamente mayor, ampliando así la gama de posibles objetivos. También pueden operar utilizando sistemas de tecnología de la información internos centralizados, lo que brinda al malware de Lazarus una mayor posibilidad de infiltrarse en la empresa.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
El grupo de hackers de Corea del Norte, Lazarus, "recaudó" 300 millones de dólares en 100 días y apuntó a instituciones centralizadas
Autor original: Elíptica
Texto original compilado por: Babywhale, Foresight News
El grupo de hackers norcoreano Lazarus parece haber intensificado sus operaciones recientemente: ha confirmado cuatro ataques contra empresas de criptomonedas desde el 3 de junio, y el reciente ataque al intercambio de criptomonedas CoinEx probablemente haya sido llevado a cabo por Lazarus. En respuesta, CoinEx emitió varios tweets indicando que aún se están identificando direcciones de billeteras sospechosas, por lo que el valor total de los fondos robados aún no está claro, pero es posible que haya alcanzado los 54 millones de dólares.
En los últimos 100 días, se ha confirmado que Lazarus robó casi 240 millones de dólares de Atomic Wallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares) y Stake.com (41 millones de dólares).
Como se muestra arriba, Elliptic analizó que algunos de los fondos robados de CoinEx se enviaron a la dirección utilizada por la organización Lazarus para almacenar fondos robados de Stake.com, aunque en una cadena de bloques diferente. Luego, los fondos se encadenaron a Ethereum a través de un puente de cadenas cruzadas previamente utilizado por Lazarus, y luego se enviaron de regreso a una dirección que se sabe que está controlada por los piratas informáticos de CoinEx. Elliptic ha observado este tipo de mezcla de fondos de diferentes piratas informáticos en el incidente de Lazarus, más recientemente cuando los fondos robados de Stake.com se mezclaron con fondos robados de la billetera Atomic. Estos casos de fondos de diferentes piratas informáticos combinados se muestran en naranja en la imagen a continuación.
Cinco ataques en más de 100 días
En 2022, se atribuyeron a Lazarus varios ataques de alto perfil, incluido un ataque al Puente Horizon de Harmony y un ataque al Puente Ronin de Axie Infinity, ambos ocurridos en la primera mitad del año pasado. Desde entonces hasta junio de este año, no se atribuyó públicamente a Lazarus ningún robo importante de criptomonedas. Por lo tanto, varios ataques de piratas informáticos en los últimos 100 días indican que los grupos de piratas informáticos norcoreanos se están volviendo activos nuevamente.
El 3 de junio de 2023, los usuarios de la billetera de criptomonedas descentralizada sin custodia Atomic Wallet perdieron más de $100 millones. Elliptic atribuyó oficialmente el hack a Lazarus el 6 de junio de 2023, después de determinar múltiples factores que apuntaban a que un grupo de hackers norcoreano era el responsable, lo que luego fue confirmado por el FBI.
El 22 de julio de 2023, Lazarus obtuvo acceso a una billetera activa perteneciente a la plataforma de criptopagos CoinsPaid a través de un ataque de ingeniería social. Este acceso permitió al atacante crear solicitudes de autorización para retirar aproximadamente 37,3 millones de dólares en criptoactivos de la billetera activa de la plataforma. El 26 de julio, CoinsPaid publicó un informe afirmando que Lazarus era responsable del ataque, lo cual fue confirmado por el FBI.
El mismo día, 22 de julio, Lazarus llevó a cabo otro ataque, esta vez dirigido al proveedor centralizado de criptopagos Alphapo, robando 60 millones de dólares en criptoactivos. Es posible que el atacante haya obtenido acceso a través de una clave privada filtrada previamente. Más tarde, el FBI confirmó que Lazarus fue el atacante en este incidente.
El 4 de septiembre de 2023, la plataforma de apuestas en criptomonedas en línea Stake.com fue atacada y se robaron aproximadamente 41 millones de dólares en criptomonedas, posiblemente debido al robo de claves privadas. El FBI emitió un anuncio el 6 de septiembre, confirmando que la organización Lazarus estaba detrás del ataque.
Finalmente, el 12 de septiembre de 2023, el intercambio centralizado de criptomonedas CoinEx fue víctima de un ataque de piratas informáticos y le robaron 54 millones de dólares. Como se mencionó anteriormente, múltiples pruebas apuntan a que Lázaro es responsable de este ataque.
¿Lázaro cambió sus "tácticas"?
El análisis de la última actividad de Lazarus muestra que desde el año pasado han cambiado su enfoque de los servicios descentralizados a los servicios centralizados. Cuatro de los cinco ataques recientes discutidos anteriormente estaban dirigidos a proveedores de servicios de criptoactivos centralizados. Antes de 2020, antes del rápido crecimiento del ecosistema DeFi, los intercambios centralizados eran el principal objetivo de Lazarus.
Hay varias explicaciones posibles de por qué Lazarus vuelve a centrar su atención en los servicios centralizados.
Preste más atención a la seguridad: la investigación anterior de Elliptic sobre los ataques de piratería DeFi en 2022 encontró que se producirá un ataque en promedio cada cuatro días en 2022, con un promedio de 32,6 millones de dólares robados por ataque. Los puentes entre cadenas se han convertido en uno de los tipos de protocolos DeFi más pirateados en 2022. Estas tendencias pueden haber impulsado mejoras en los estándares de desarrollo y auditoría de contratos inteligentes, reduciendo el alcance de los piratas informáticos para identificar y explotar vulnerabilidades.
Susceptibilidad a la ingeniería social: en numerosos ataques de piratería, el método de ataque elegido por el Grupo Lazarus fue la ingeniería social. Por ejemplo, el hackeo del puente Ronin, valorado en 540 millones de dólares, fue una "brecha" encontrada a través de oportunidades laborales falsas en LinkedIn. Sin embargo, los servicios descentralizados no suelen tener muchos empleados y, como su nombre indica, están descentralizados en diversos grados. Por lo tanto, obtener acceso malicioso a un desarrollador no necesariamente equivale a obtener acceso administrativo a un contrato inteligente.
Al mismo tiempo, es probable que los intercambios centralizados empleen una fuerza laboral relativamente mayor, ampliando así la gama de posibles objetivos. También pueden operar utilizando sistemas de tecnología de la información internos centralizados, lo que brinda al malware de Lazarus una mayor posibilidad de infiltrarse en la empresa.