El grupo de hackers norcoreano Lazarus parece haber intensificado sus operaciones recientemente, con cuatro ataques confirmados dirigidos a la industria del cifrado desde el 3 de junio. Recientemente, se sospechaba que habían llevado a cabo el quinto ataque: 23pds, director de seguridad de la información de SlowMist, tuiteó que el ataque de piratas informáticos de 55 millones de dólares al intercambio de cifrado CoinEx fue causado por piratas informáticos patrocinados por el estado de Corea del Norte.
Vale la pena señalar que los piratas informáticos patrocinados por Corea del Norte han robado aproximadamente 1.200 millones de dólares en criptomonedas de todo el mundo desde 2017, según un informe anterior de Associated Press que cita a la principal agencia de espionaje de Corea del Sur, el Servicio Nacional de Inteligencia (NIS). El NIS cree que Corea del Norte es uno de los países más motivados del mundo cuando se trata de robar criptomonedas, y el país centró su atención en el ciberdelito después de que las Naciones Unidas endurecieran en 2017 las sanciones económicas en respuesta a sus pruebas nucleares y de misiles.
Además, en los últimos 104 días, se ha confirmado que el grupo de hackers norcoreano Lazarus robó casi 2,4 millones de dólares de Atomic Wallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares) y Stake.com (41 millones de dólares). .000 millones en criptoactivos.
Como se muestra en la imagen de arriba, el análisis de Elliptic indica que algunos de los fondos robados de CoinEx se enviaron a la dirección utilizada por la organización Lazarus para almacenar fondos robados de Stake.com, aunque en una cadena de bloques diferente. Luego, los fondos se encadenaron a Ethereum a través de un puente de cadenas cruzadas previamente utilizado por Lazarus, y luego se enviaron de regreso a una dirección controlada por los piratas informáticos de CoinEx.
Elliptic ha observado este tipo de mezcla de fondos de diferentes piratas informáticos en el incidente de Lazarus, más recientemente cuando la criptomoneda robada de Stake.com se mezcló con fondos robados de la billetera Atomic. Estos casos de fondos de diferentes piratas informáticos combinados se muestran en naranja en la imagen a continuación.
01. Lázaro realizó 5 ataques en 104 días
En 2022, se atribuyeron a Lazarus una serie de ataques de piratería de alto perfil, incluidos los ataques al Puente Horizon de Harmony y al Puente Ronin de Axie Infinity, ambos ocurridos en la primera mitad del año pasado. Desde entonces hasta junio de este año, no se atribuyó públicamente a Lazarus ningún robo importante de criptomonedas. Por lo tanto, varios ataques de hackers en los últimos 104 días indican un aumento en las actividades de este grupo de hackers norcoreano.
El 3 de junio de 2023, los usuarios de la billetera de criptomonedas descentralizada sin custodia Atomic Wallet perdieron más de $100 millones. Elliptic culpó oficialmente a Lazarus por el hackeo el 6 de junio de 2023, después de identificar múltiples factores que apuntaban a que un grupo de hackers norcoreano era el responsable, lo que luego fue confirmado por el FBI.
El 22 de julio de 2023, Lazarus obtuvo acceso a una billetera activa perteneciente a la plataforma de criptopagos CoinsPaid a través de un ataque de ingeniería social. Este acceso permitió al atacante crear solicitudes de autorización para retirar aproximadamente 37,3 millones de dólares en criptoactivos de la billetera activa de la plataforma. El 26 de julio, CoinsPaid publicó un informe que afirmaba que Lazarus era responsable del ataque, lo que también fue confirmado por la Oficina Federal de Investigaciones (FBI).
El mismo día, 22 de julio, Lazarus llevó a cabo otro ataque de alto perfil, esta vez dirigido al proveedor centralizado de criptopagos Alphapo, robando 60 millones de dólares en criptoactivos. Es posible que el atacante haya obtenido acceso a través de una clave privada filtrada previamente. Posteriormente, el FBI confirmó que Lazarus fue el responsable del ataque.
El 4 de septiembre de 2023, la plataforma de juegos de criptomonedas en línea Stake.com sufrió un ataque y se robaron monedas virtuales por un valor total de aproximadamente 41 millones de dólares, posiblemente debido al robo de claves privadas. El FBI anunció el 6 de septiembre que la organización Lazarus era la mente detrás del ataque.
Finalmente, el 12 de septiembre de 2023, el intercambio centralizado de criptomonedas CoinEx sufrió un ataque de piratas informáticos y le robaron 54 millones de dólares. Como se mencionó anteriormente, múltiples pruebas apuntan a Lazarus como el hacker responsable de este ataque.
02. ¿Lázaro cambió de táctica?
El análisis de la última actividad de Lazarus muestra que desde el año pasado han cambiado su enfoque de los servicios descentralizados a los servicios centralizados. Cuatro de los últimos cinco ataques discutidos anteriormente fueron contra proveedores centralizados de servicios de criptoactivos. Antes de 2020, y antes del rápido ascenso del ecosistema de finanzas descentralizadas (DeFi), los intercambios centralizados eran el principal objetivo elegido por Lazarus.
Hay varias explicaciones posibles de por qué Lazarus vuelve a centrar su atención en los servicios centralizados.
Los ataques al protocolo DeFi se vuelven más difíciles
La investigación anterior de Elliptic sobre los ataques de piratería DeFi en 2022 encontró que se produciría un ataque en promedio cada 4 días en 2022, con un promedio de 32,6 millones de dólares robados por ataque. Los puentes entre cadenas se han convertido en uno de los tipos de protocolos DeFi más pirateados en 2022. Estas tendencias pueden haber impulsado mejoras en los estándares de desarrollo y auditoría de contratos inteligentes, reduciendo el alcance de los piratas informáticos para identificar y explotar vulnerabilidades.
Las instituciones centralizadas tienen una alta complejidad de relaciones sociales
En muchos ataques de piratería anteriores, el método de ataque elegido por Lazarus Group fue la ingeniería social. Por ejemplo, el hackeo del Ronin Bridge, valorado en 540 millones de dólares, fue causado por un ex empleado de la empresa que fue engañado por una oferta de trabajo falsa en LinkedIn. Sin embargo, los servicios descentralizados no suelen tener muchos empleados y los proyectos están hasta cierto punto descentralizados. Por lo tanto, obtener acceso malicioso a un desarrollador no necesariamente equivale a obtener acceso administrativo a un contrato inteligente.
Al mismo tiempo, es probable que las bolsas centralizadas empleen un número relativamente grande de empleados, ampliando así la gama de posibles objetivos. También pueden operar utilizando sistemas de tecnología de la información internos centralizados, lo que brinda al malware de Lazarus una mayor posibilidad de infiltrarse en la empresa.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
300 millones de dólares estadounidenses en 100 días, los piratas informáticos norcoreanos "dinero loco" en el círculo de cifrado
Fuente/elíptica
compilar/nick
El grupo de hackers norcoreano Lazarus parece haber intensificado sus operaciones recientemente, con cuatro ataques confirmados dirigidos a la industria del cifrado desde el 3 de junio. Recientemente, se sospechaba que habían llevado a cabo el quinto ataque: 23pds, director de seguridad de la información de SlowMist, tuiteó que el ataque de piratas informáticos de 55 millones de dólares al intercambio de cifrado CoinEx fue causado por piratas informáticos patrocinados por el estado de Corea del Norte.
Vale la pena señalar que los piratas informáticos patrocinados por Corea del Norte han robado aproximadamente 1.200 millones de dólares en criptomonedas de todo el mundo desde 2017, según un informe anterior de Associated Press que cita a la principal agencia de espionaje de Corea del Sur, el Servicio Nacional de Inteligencia (NIS). El NIS cree que Corea del Norte es uno de los países más motivados del mundo cuando se trata de robar criptomonedas, y el país centró su atención en el ciberdelito después de que las Naciones Unidas endurecieran en 2017 las sanciones económicas en respuesta a sus pruebas nucleares y de misiles.
Además, en los últimos 104 días, se ha confirmado que el grupo de hackers norcoreano Lazarus robó casi 2,4 millones de dólares de Atomic Wallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares) y Stake.com (41 millones de dólares). .000 millones en criptoactivos.
Como se muestra en la imagen de arriba, el análisis de Elliptic indica que algunos de los fondos robados de CoinEx se enviaron a la dirección utilizada por la organización Lazarus para almacenar fondos robados de Stake.com, aunque en una cadena de bloques diferente. Luego, los fondos se encadenaron a Ethereum a través de un puente de cadenas cruzadas previamente utilizado por Lazarus, y luego se enviaron de regreso a una dirección controlada por los piratas informáticos de CoinEx.
Elliptic ha observado este tipo de mezcla de fondos de diferentes piratas informáticos en el incidente de Lazarus, más recientemente cuando la criptomoneda robada de Stake.com se mezcló con fondos robados de la billetera Atomic. Estos casos de fondos de diferentes piratas informáticos combinados se muestran en naranja en la imagen a continuación.
01. Lázaro realizó 5 ataques en 104 días
En 2022, se atribuyeron a Lazarus una serie de ataques de piratería de alto perfil, incluidos los ataques al Puente Horizon de Harmony y al Puente Ronin de Axie Infinity, ambos ocurridos en la primera mitad del año pasado. Desde entonces hasta junio de este año, no se atribuyó públicamente a Lazarus ningún robo importante de criptomonedas. Por lo tanto, varios ataques de hackers en los últimos 104 días indican un aumento en las actividades de este grupo de hackers norcoreano.
El 3 de junio de 2023, los usuarios de la billetera de criptomonedas descentralizada sin custodia Atomic Wallet perdieron más de $100 millones. Elliptic culpó oficialmente a Lazarus por el hackeo el 6 de junio de 2023, después de identificar múltiples factores que apuntaban a que un grupo de hackers norcoreano era el responsable, lo que luego fue confirmado por el FBI.
El 22 de julio de 2023, Lazarus obtuvo acceso a una billetera activa perteneciente a la plataforma de criptopagos CoinsPaid a través de un ataque de ingeniería social. Este acceso permitió al atacante crear solicitudes de autorización para retirar aproximadamente 37,3 millones de dólares en criptoactivos de la billetera activa de la plataforma. El 26 de julio, CoinsPaid publicó un informe que afirmaba que Lazarus era responsable del ataque, lo que también fue confirmado por la Oficina Federal de Investigaciones (FBI).
El mismo día, 22 de julio, Lazarus llevó a cabo otro ataque de alto perfil, esta vez dirigido al proveedor centralizado de criptopagos Alphapo, robando 60 millones de dólares en criptoactivos. Es posible que el atacante haya obtenido acceso a través de una clave privada filtrada previamente. Posteriormente, el FBI confirmó que Lazarus fue el responsable del ataque.
El 4 de septiembre de 2023, la plataforma de juegos de criptomonedas en línea Stake.com sufrió un ataque y se robaron monedas virtuales por un valor total de aproximadamente 41 millones de dólares, posiblemente debido al robo de claves privadas. El FBI anunció el 6 de septiembre que la organización Lazarus era la mente detrás del ataque.
Finalmente, el 12 de septiembre de 2023, el intercambio centralizado de criptomonedas CoinEx sufrió un ataque de piratas informáticos y le robaron 54 millones de dólares. Como se mencionó anteriormente, múltiples pruebas apuntan a Lazarus como el hacker responsable de este ataque.
02. ¿Lázaro cambió de táctica?
El análisis de la última actividad de Lazarus muestra que desde el año pasado han cambiado su enfoque de los servicios descentralizados a los servicios centralizados. Cuatro de los últimos cinco ataques discutidos anteriormente fueron contra proveedores centralizados de servicios de criptoactivos. Antes de 2020, y antes del rápido ascenso del ecosistema de finanzas descentralizadas (DeFi), los intercambios centralizados eran el principal objetivo elegido por Lazarus.
Hay varias explicaciones posibles de por qué Lazarus vuelve a centrar su atención en los servicios centralizados.
Los ataques al protocolo DeFi se vuelven más difíciles
La investigación anterior de Elliptic sobre los ataques de piratería DeFi en 2022 encontró que se produciría un ataque en promedio cada 4 días en 2022, con un promedio de 32,6 millones de dólares robados por ataque. Los puentes entre cadenas se han convertido en uno de los tipos de protocolos DeFi más pirateados en 2022. Estas tendencias pueden haber impulsado mejoras en los estándares de desarrollo y auditoría de contratos inteligentes, reduciendo el alcance de los piratas informáticos para identificar y explotar vulnerabilidades.
Las instituciones centralizadas tienen una alta complejidad de relaciones sociales
En muchos ataques de piratería anteriores, el método de ataque elegido por Lazarus Group fue la ingeniería social. Por ejemplo, el hackeo del Ronin Bridge, valorado en 540 millones de dólares, fue causado por un ex empleado de la empresa que fue engañado por una oferta de trabajo falsa en LinkedIn. Sin embargo, los servicios descentralizados no suelen tener muchos empleados y los proyectos están hasta cierto punto descentralizados. Por lo tanto, obtener acceso malicioso a un desarrollador no necesariamente equivale a obtener acceso administrativo a un contrato inteligente.
Al mismo tiempo, es probable que las bolsas centralizadas empleen un número relativamente grande de empleados, ampliando así la gama de posibles objetivos. También pueden operar utilizando sistemas de tecnología de la información internos centralizados, lo que brinda al malware de Lazarus una mayor posibilidad de infiltrarse en la empresa.