El grupo de hackers norcoreano Lazarus parece haber intensificado sus operaciones recientemente, con cuatro ataques confirmados a entidades de criptomonedas desde el 3 de junio. Ahora, se sospecha que llevaron a cabo un quinto ataque, esta vez a CoinEx el 12 de septiembre. En respuesta, CoinEx emitió varios tweets afirmando que la dirección de la billetera sospechosa aún se está confirmando, por lo que se desconoce el valor total de los fondos robados, pero actualmente se cree que ronda los $54 millones.

En los últimos 104 días, se ha confirmado que Lazarus robó casi 240 millones de dólares en criptoactivos de AtomicWallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares) y Stake.com (41 millones de dólares).

El último ataque de Lázaro

Como se muestra arriba, el análisis de la agencia de seguridad Elliptic confirmó que algunos de los fondos robados de CoinEx se enviaron a una dirección que fue utilizada por el grupo Lazarus para lavar fondos robados de Stake.com, aunque en una cadena de bloques diferente. Luego, los fondos se conectaron a Ethereum, utilizando un puente utilizado anteriormente por Lazarus, y luego se enviaron de regreso a una dirección que se sabe que está controlada por los piratas informáticos de CoinEx. Ilipu ha observado a Lazarus mezclando fondos de diferentes piratas informáticos, más recientemente cuando los fondos robados de Stake.com se superpusieron con fondos robados de AtomicWallet. Estos casos de fondos de diferentes piratas informáticos combinados se muestran en naranja en la imagen a continuación.

Dada esta actividad de blockchain y la falta de información que sugiera que el hackeo de CoinEx fue llevado a cabo por cualquier otro grupo de amenazas, Illip está de acuerdo en que se debe sospechar que el Grupo Lazarus está robando fondos de CoinEx.

Cinco ataques de Lázaro en 104 días

En 2022, se atribuyeron a Lazarus varios ataques de alto perfil, incluido el puente Horizon de Harmony y el puente Ronin de AxieInfinity, ambos ocurridos en la primera mitad del año pasado. Entre entonces y junio de este año, no se había atribuido públicamente a Lazarus ningún criptoatraco importante. Por lo tanto, los diversos incidentes de piratería ocurridos en los últimos 104 días indican un aumento en las actividades de los grupos amenazantes norcoreanos.

El 3 de junio de 2023, los usuarios de la billetera de criptomonedas descentralizada sin custodia AtomicWallet perdieron más de $100 millones. El 6 de junio de 2023, Illip atribuyó el hack a Lazarus después de identificar múltiples factores que indicaban que un grupo de amenazas norcoreano era el responsable. Esta atribución fue confirmada posteriormente por el FBI.

El 22 de julio de 2023, Lazarus obtuvo acceso a una billetera activa perteneciente a la plataforma de pago de criptomonedas CoinsPaid a través de un exitoso ataque de ingeniería social. El acceso permitió a los atacantes crear solicitudes de autorización para retirar aproximadamente 37,3 millones de dólares en criptoactivos de las billeteras activas de la plataforma. El 26 de julio, CoinsPaid publicó un informe afirmando que Lazarus fue responsable del ataque. El FBI confirmó posteriormente la atribución.

El mismo día, 22 de julio, Lazarus lanzó otro ataque de alto perfil, esta vez dirigido al proveedor centralizado de criptopagos Alphapo, robando 60 millones de dólares en criptoactivos. Es posible que el atacante haya obtenido acceso a través de una clave privada filtrada previamente. Como se mencionó anteriormente, el FBI luego atribuyó el ataque a Lazarus.

El 4 de septiembre de 2023, el casino de criptomonedas en línea Stake.com fue atacado y se robaron aproximadamente 41 millones de dólares en moneda virtual, posiblemente como resultado del robo de claves privadas. El FBI emitió un comunicado de prensa el 6 de septiembre confirmando que el Grupo Lazarus estaba detrás del ataque.

Finalmente, el 12 de septiembre de 2023, el intercambio centralizado de criptomonedas CoinEx fue pirateado y se robaron 54 millones de dólares. Como se detalló anteriormente, varios factores apuntan a que Lázaro es el responsable de este ataque.

¿Cambiar de estrategia?

El análisis de la última actividad de Lazarus muestra que desde el año pasado han cambiado su enfoque de los servicios descentralizados a los servicios centralizados. De los cinco ataques recientes discutidos anteriormente, cuatro se dirigieron a proveedores de servicios de activos virtuales centralizados. Antes del rápido ascenso del ecosistema de finanzas descentralizadas (DeFi), los intercambios centralizados eran el objetivo preferido de Lazarus antes de 2020.

Podría haber varias razones por las que Lazarus vuelve a centrar su atención en los servicios centralizados.

Preste más atención a la seguridad: la investigación anterior de Yilip sobre incidentes de piratería DeFi en 2022 encontró que se producía un exploit cada cuatro días, con un promedio de 32,6 millones de dólares robados cada vez. Los puentes entre cadenas eran una forma de servicio relativamente nueva a principios de 2022, pero ahora se han convertido en algunos de los tipos de protocolos DeFi más pirateados. Es probable que estas tendencias conduzcan a mejores estándares de desarrollo y auditoría de contratos inteligentes, reduciendo el alcance de los piratas informáticos para identificar y explotar vulnerabilidades.

Vulnerable a la ingeniería social: en muchos ataques de piratería, el método de ataque elegido por el Grupo Lazarus fue la ingeniería social. Por ejemplo, el hackeo de RoninBridge por valor de 540 millones de dólares fue causado por ofertas de trabajo falsas en LinkedIn. No obstante, los servicios descentralizados suelen tener plantillas más pequeñas y, como su nombre indica, están descentralizados en distintos grados. Por lo tanto, obtener acceso malicioso a un desarrollador no es necesariamente lo mismo que obtener acceso administrativo a un contrato inteligente.

Al mismo tiempo, es probable que los intercambios centralizados tengan mayor personal, ampliando el alcance de posibles objetivos. También pueden operar utilizando sistemas de tecnología de la información internos centralizados, lo que le da al malware Lazarus una mayor oportunidad de penetrar las funciones previstas de su negocio.