En los últimos 2 meses, el grupo de hackers norcoreanos Lazarus ha robado criptodivisas por valor de más de 290 millones de dólares. Así que DefiLlama investigó los métodos utilizados por los ladrones, para lograr sus fines.
Lazarus roba más de 290 millones de dólares en criptomonedas en 2 meses
Hasta ahora, 2023 parece ser más parco que años anteriores en cuanto a hackeos en el ecosistema, con un total actualmente de 635 millones de dólares. Sin embargo, en los últimos meses se han producido algunos ataques significativos, como el del grupo norcoreano Lazarus, que ha robado criptomonedas por valor de más de 290 millones de dólares en los últimos dos meses.
Ante estas cifras, los analistas de DefiLlama han llevado a cabo una investigación sobre las técnicas utilizadas por estos ladrones, centrándose en particular en el reciente caso de CoinsPaid, víctima de un ataque de 37 millones de dólares hace unas semanas.
De hecho, se han confirmado vínculos con el grupo Lazarus, dado el uso de monederos implicados en los hackeos de los puentes Harmony y Atomic Wallet:
Hace unas noches, @zachxbt y yo nos tropezamos con un loco enlace directo btwn fondos robados de Coinspaid/Alphapo Atomic Wallet Harmony.
Anoche, ~ $ 8.5m de los fondos de Coinspaid / Alphapo (w / algunos restos de Atomic Wallet) fue volando a través de 300 + addies en 3 cadenas.
https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L
– Tay (@tayvano_) Agosto 3, 2023
6 meses de preparación y varios ataques
Antes del ataque del 22 de julio, los hackers de Lazarus pasaron más de 6 meses preparándose, utilizando diversos métodos para comprometer la seguridad de CoinsPaid.
El 7 de julio, por ejemplo, la plataforma sufrió un ataque DDoS masivo que afectó a 150.000 direcciones IP.
Entre junio y julio, los informes también citan intentos de soborno, así como falsas ofertas de trabajo para los ingenieros de la plataforma, con sueldos de entre 16.000 y 24.000 dólares al mes.
De hecho, fue la descarga de software malicioso por parte de un empleado pensando que estaba realizando una entrevista de trabajo para Crypto.com lo que abrió una brecha que condujo al éxito del hackeo. El código malicioso permitió a los atacantes acceder al sistema de CoinsPaid para explotar una vulnerabilidad.
Los equipos de CoinsPaid explicaron a DefiLlama las habilidades de ingeniería social del grupo Lazarus:
«
«.
«
» Aunque se podría pensar que un intento de este tipo para instalar malware en el ordenador de un empleado sería obvio, los hackers pasaron 6 meses aprendiendo todos los detalles posibles sobre CoinsPaid, los miembros de nuestro equipo, la estructura de nuestra empresa, etc. Grupos de hackers de alto nivel han sido capaces de explotar esta vulnerabilidad en su beneficio. Grupos de hackers de alto nivel como Lazarus son capaces de crear una historia completamente creíble para aprovecharse de objetivos potenciales. «
Aunque los hackeos más impresionantes suelen deberse al aprovechamiento de problemas en el código fuente de aplicaciones financieras descentralizadas (DeFi), vemos aquí que no hay que subestimar el factor humano. Y por una buena razón, a menudo es más fácil para una entidad maliciosa explotar este apalancamiento, en lugar de buscar vulnerabilidades técnicas.
