Análise das atividades de roubo e lavagem de dinheiro de criptomoeda do grupo hacker Lazarus

Recentemente, um relatório confidencial da ONU revelou que o grupo de hackers da Coreia do Norte, Lazarus Group, roubou fundos de uma exchange de ativos de criptografia no ano passado e, em março deste ano, lavou 147,5 milhões de dólares através de uma plataforma de moeda virtual.

Os inspetores do Comité de Sanções do Conselho de Segurança da ONU estão a investigar 97 ataques cibernéticos suspeitos de hackers norte-coreanos contra Ativos de criptografia entre 2017 e 2024, envolvendo um montante de cerca de 3.6 mil milhões de dólares. Entre eles está o ataque a uma determinada bolsa de Ativos de criptografia no final do ano passado, que resultou em uma perda de 147.5 milhões de dólares, e que foi concluído em março deste ano com a lavagem de dinheiro.

O governo de um país impôs sanções à plataforma de moeda virtual em 2022. Em 2023, dois cofundadores da plataforma foram acusados de ajudar na lavagem de dinheiro de mais de 1 bilhão de dólares, com parte dos fundos relacionada a organizações criminosas cibernéticas da Coreia do Norte.

De acordo com uma pesquisa de especialistas em análise de criptomoedas, o Lazarus Group lavou 200 milhões de dólares em ativos de criptografia para moeda fiduciária entre agosto de 2020 e outubro de 2023.

O Grupo Lazarus tem sido acusado há muito tempo de realizar ataques cibernéticos em grande escala e crimes financeiros, com alvos em diversas indústrias ao redor do mundo. A seguir, analisaremos alguns casos típicos, revelando como a organização implementa ataques através de estratégias e técnicas complexas.

Ataques de engenharia social e phishing do Lazarus Group

De acordo com a mídia europeia, o Lazarus anteriormente tinha como alvo empresas de defesa e aeroespaciais na Europa e no Oriente Médio. Eles publicavam anúncios de emprego falsos em plataformas sociais, atraindo candidatos a fazer o download de arquivos PDF contendo malware, realizando assim ataques de phishing.

Esse ataque de engenharia social e phishing utiliza manipulação psicológica para enganar as vítimas a relaxarem a vigilância e executarem operações perigosas, como clicar em links ou baixar arquivos. Seu malware pode explorar vulnerabilidades no sistema afetado para roubar informações sensíveis.

Lazarus usou métodos semelhantes em uma ação de seis meses contra um fornecedor de pagamento de ativos de criptografia, resultando no roubo de 37 milhões de dólares da empresa. Durante todo o processo, eles enviaram oportunidades de trabalho falsas para engenheiros, iniciaram ataques técnicos como negação de serviço distribuída e tentaram quebrar senhas por força bruta.

Vários incidentes de ataques a plataformas de ativos de criptografia

De agosto a outubro de 2020, várias bolsas de Ativos de criptografia sofreram ataques:

• No dia 24 de agosto, a carteira de uma bolsa canadense foi roubada.
• No dia 11 de setembro, um projeto sofreu uma transferência não autorizada de 400 mil dólares devido ao vazamento da chave privada da equipe.
• No dia 6 de outubro, um hot wallet de uma bolsa foi transferido 750 mil dólares em ativos de criptografia devido a uma vulnerabilidade de segurança.

Esses fundos roubados foram reunidos em um único endereço no início de 2021 e, em seguida, passaram por um serviço de mistura para lavagem de dinheiro. Os atacantes realizaram várias transferências e trocas, e finalmente enviaram os fundos para um endereço de depósito específico.

Fundador de projeto conhecido sofre ataque de hacker

No dia 14 de dezembro de 2020, o fundador de um projeto de seguro mútuo teve sua carteira pessoal roubada de 370.000 moedas (no valor de 8,3 milhões de dólares). Os fundos roubados foram transferidos entre vários endereços e trocados por outros ativos. O atacante confundiu a origem dos fundos através de operações de cross-chain, plataformas de mistura de moedas e múltiplas transferências.

De maio a julho de 2021, os atacantes transferiram 11 milhões de USDT para uma determinada plataforma de negociação. De fevereiro a junho de 2023, enviaram, em parcelas, um total de 11,17 milhões de USDT para dois endereços de depósito diferentes.

Análise de eventos de ataque recentes

Em agosto de 2023, em dois ataques diferentes, um total de 1524 ETH foi transferido para um serviço de mistura de moedas. Em seguida, os fundos foram retirados para vários endereços de transição e, finalmente, em novembro, foram enviados para um endereço de depósito específico após a troca.

Resumo

Os principais métodos de lavagem de dinheiro do Lazarus Group incluem:

1. Transferência entre cadeias
2. Utilizar serviços de mistura de moeda
3. Várias transferências e trocas
4. Por fim, reunir os fundos em um grupo de endereços fixos para efetuar o levantamento

Esses ataques contínuos e em grande escala representam uma ameaça significativa à segurança da indústria Web3. As entidades relevantes estão continuamente rastreando a dinâmica deste grupo de hackers e seus métodos de lavagem de dinheiro, a fim de ajudar a combater esse tipo de crime e recuperar os ativos roubados.