Análisis de las técnicas de ataque y métodos de blanqueo de capital del grupo de hackers norcoreano Lazarus Group

Recientemente, un informe confidencial de las Naciones Unidas reveló que un grupo de hackers robó fondos de un intercambio de criptomonedas el año pasado y blanqueó 147.5 millones de dólares a través de una plataforma de criptomonedas en marzo de este año.

Se informa que los inspectores están investigando 97 ataques cibernéticos sospechosos contra empresas de criptomonedas que ocurrieron entre 2017 y 2024, con un monto involucrado de aproximadamente 3.6 mil millones de dólares. Esto incluye el incidente a finales del año pasado en el que se robaron 147.5 millones de dólares de un intercambio de criptomonedas, fondos que posteriormente se blanquearon en marzo de este año.

En 2022, Estados Unidos impuso sanciones a una plataforma de mezcla de monedas. Al año siguiente, dos cofundadores de la plataforma fueron acusados de ayudar en el blanqueo de capital de más de 1,000 millones de dólares, que involucraba a organizaciones criminales cibernéticas relacionadas con Corea del Norte.

Una investigación de un analista de criptomonedas muestra que esta organización Hacker blanqueó 200 millones de dólares en criptomonedas a moneda fiduciaria entre agosto de 2020 y octubre de 2023.

Esta organización de hackers ha sido acusada durante mucho tiempo de llevar a cabo ataques cibernéticos a gran escala y delitos financieros. Sus objetivos se extienden por todo el mundo, desde sistemas bancarios hasta intercambios de criptomonedas, desde agencias gubernamentales hasta empresas privadas. A continuación, se analizarán varios casos típicos de ataques, revelando cómo esta organización de hackers implementa estos asombrosos ataques a través de estrategias complejas y medios técnicos.

Ingeniería social y ataques de phishing

Según los medios europeos, la organización había apuntado a empresas de defensa y aeroespaciales en Europa y Oriente Medio. Publicaron anuncios de empleo en plataformas sociales para engañar a los empleados, pidiendo a los solicitantes que descargaran un PDF que contenía archivos ejecutables, llevando a cabo así ataques de phishing.

Este tipo de ataque intenta aprovechar la manipulación psicológica para engañar a las víctimas y hacer que bajen la guardia, ejecuten acciones como hacer clic en enlaces o descargar archivos, poniendo en peligro la seguridad del sistema. Los hackers apuntan a las vulnerabilidades en el sistema de la víctima a través de malware y roban información sensible.

Durante una operación de seis meses contra un proveedor de servicios de pago de criptomonedas, la organización utilizó métodos similares, lo que resultó en el robo de 37 millones de dólares de la compañía. Enviaron ofertas de trabajo falsas a ingenieros, iniciaron ataques de denegación de servicio distribuido y intentaron descifrar contraseñas mediante fuerza bruta.

Múltiples incidentes de ataques a intercambios de criptomonedas

Desde agosto hasta octubre de 2020, varios intercambios de criptomonedas y proyectos fueron atacados:

• El 24 de agosto, se robó la billetera de un intercambio de criptomonedas canadiense.
• El 11 de septiembre, un proyecto sufrió una filtración de clave privada, lo que provocó transferencias no autorizadas de 400,000 dólares de varios monederos controlados por el equipo.
• El 6 de octubre, una plataforma de intercambio sufrió la transferencia de 750,000 dólares en activos criptográficos desde su billetera caliente debido a una vulnerabilidad de seguridad.

Estos fondos robados se agruparon en la misma dirección a principios de 2021, y luego se transfirieron y mezclaron varias veces a través de plataformas de mezcla. Para 2023, los atacantes enviaron los fondos a ciertas direcciones de retiro específicas.

El fundador de una plataforma de seguros mutuos fue atacado por un Hacker

El 14 de diciembre de 2020, la cuenta personal del fundador de una plataforma de seguros mutualistas fue robada con 370,000 tokens de la plataforma, con un valor de aproximadamente 8.3 millones de dólares.

Hacker a través de múltiples direcciones transfiere y cambia fondos robados. Parte de los fondos se transfieren a la red de Bitcoin, luego regresan a la red de Ethereum, después se confunden a través de plataformas de mezcla, y finalmente se envían a la plataforma de retiro.

De mayo a julio de 2021, los atacantes transfirieron 11 millones de USDT a una plataforma de intercambio. De febrero a junio de 2023, enviaron en lotes más de 11 millones de USDT a dos direcciones de retiro diferentes.

Recientes incidentes de ataques a proyectos DeFi

En agosto de 2023, dos proyectos DeFi sufrieron ataques, y un total de aproximadamente 1500 ETH fueron robados. Los Hacker transfirieron estos ETH a una plataforma de mezclado, y luego los retiraron a varias direcciones intermedias.

El 12 de octubre de 2023, estos fondos fueron concentrados en una nueva dirección. Para noviembre, esa dirección comenzó a transferir fondos, que finalmente, a través de intermediarios y conversiones, fueron enviados a una dirección de retiro específica.

Resumen

La organización hacker, después de robar activos criptográficos, principalmente utiliza operaciones de cadena cruzada y mezcladores de monedas para llevar a cabo la confusión de fondos. Después de la confusión, extraen los activos robados a la dirección objetivo y los envían a un grupo de direcciones fijas para realizar operaciones de retiro. Los activos criptográficos robados suelen depositarse en direcciones de retiro específicas y luego se intercambian por moneda fiduciaria a través de servicios de comercio extrabursátil.

Ante este tipo de ataques continuos y a gran escala, la industria de Web3 enfrenta serios desafíos de seguridad. Las instituciones relevantes están prestando atención continua a la dinámica de este hacker y a las formas de blanqueo de capital, para ayudar a los proyectos, a los organismos de regulación y a las fuerzas del orden a combatir este tipo de crímenes y recuperar los activos robados.