Blog

May 24, 2023

Lazarus Group de Corea del Norte vinculado al atraco de Atomic Wallet • The Register

La banda criminal norcoreana Lazarus Group ha sido culpada por el fin de semana pasado.

La pandilla criminal norcoreana Lazarus Group ha sido culpada por el ataque del fin de semana pasado a Atomic Wallet que drenó al menos $ 35 millones en criptomonedas de cuentas privadas.

Las similitudes entre el ataque de Atomic Wallet y los atracos digitales anteriores le dieron a la firma de análisis de blockchain Elliptic un "alto nivel de confianza" al nombrar al notorio grupo, dijo el equipo en un informe.

"Hemos identificado una gran cantidad de billeteras de víctimas, lo que permite rastrear los fondos robados en nuestro software", escribieron los detectives de Elliptic. "Los intercambios y otras empresas de criptografía que utilizan las herramientas de Elliptic pueden identificar cualquier depósito que se origine a partir del hackeo. Nuestro equipo de investigaciones también está siguiendo el rastro de la transacción".

Atomic Wallet es una aplicación para administrar criptomonedas en Windows, macOS y algunas distribuciones de Linux, así como en dispositivos Android e iOS. El fin de semana pasado, un número desconocido de cinco millones de usuarios de Atomic Wallet, con sede en Estonia, descubrió que parte o la totalidad de las criptomonedas de sus billeteras habían sido eliminadas. Algunos dijeron que perdieron todos sus ahorros.

Atomic Wallet ha dicho poco sobre los detalles del ataque, pero el autodenominado detective en cadena ZachXBT sugirió que las pérdidas podrían sumar más de $ 35 millones. El fabricante de la aplicación también ha ofrecido públicamente a los atacantes el 10 por ciento de los fondos a cambio de que se devuelva el 90 por ciento del cripto-efectivo./p>

Los investigadores de Elliptic dijeron que al rastrear algunas de las criptomonedas robadas, pudieron recopilar información sobre cómo se manejó y blanqueó, y la pista de auditoría apuntaba en la dirección de Lazarus Group.

"El lavado de los criptoactivos robados sigue una serie de pasos que coinciden exactamente con los empleados para lavar las ganancias de los hackeos anteriores perpetrados por Lazarus Group", escribieron los investigadores.

Los investigadores agregaron que los "activos robados se están lavando utilizando servicios específicos, incluido el mezclador Sinbad, que también se ha utilizado para lavar las ganancias de ataques anteriores perpetrados por Lazarus Group". Además, los activos robados se mezclaron en billeteras que también contienen criptomonedas robadas en ataques anteriores del Grupo Lazarus.

Elliptic y otros vincularon previamente a la pandilla criminal con el robo de $620 millones en criptoactivos de una plataforma de finanzas descentralizadas (DeFi) utilizada por el videojuego Axie Infinity y su desarrollador, Sky Mavis. También se cree que Lazarus es responsable del atraco de 100 millones de dólares en Horizon Bridge, un servicio de cadena cruzada utilizado para transferir activos entre la cadena de bloques del desarrollador de Horizon, Harmony, y otras cadenas de bloques.

Si los norcoreanos lanzaron el ataque Atomic Wallet, y recuerden, Elliptic tiene un "alto nivel de confianza", será el primer gran robo de criptomonedas atribuido al grupo desde el atraco a Harmony. También significaría que los fondos no regresarán, ya que Pyongyang se burla de los intentos de arrestar a sus agentes.

La conexión elíptica del mezclador Sinbad al Atomic Wallet es una señal reveladora de la participación de Lazarus Group. Estos mezcladores, o vasos criptográficos, son herramientas clave que se utilizan para lavar ganancias obtenidas ilícitamente de robos o pagos de rescate. Los servicios permiten a los usuarios depositar activos digitales que van a un grupo. Luego, los usuarios pueden retirar activos del mismo valor que depositaron, y el dinero digital se envía a nuevas direcciones que son difíciles de rastrear o asociar con el depositante.

Los mezcladores criptográficos son herramientas legítimas que pueden usarse para fines ilegítimos. Chainalysis, una empresa de cadena de bloques contratada por Atomic Wallet para rastrear los fondos robados y trabajar con las fuerzas del orden y los intercambios de criptomonedas, descubrió que casi el 10 por ciento de las criptomonedas en poder de los malhechores pasó a través de un mezclador en 2022.

A raíz de las sanciones del gobierno de EE. UU. contra Blender y Tornado Cash, dos de los principales mezcladores conocidos por ayudar a los atacantes a lavar fondos robados, surgió un nuevo mezclador llamado Sinbad, y Elliptic a principios de este año sugirió que probablemente era un reinicio de Blender.

Blender, acusado por EE. UU. de ayudar a Lazarus Group a lavar cientos de millones de dólares en activos digitales robados, cerró en abril de 2022. Sinbad entró en escena unos seis meses después.

Los mezcladores dificultan el seguimiento de las criptomonedas robadas, pero las agencias gubernamentales y las empresas de análisis de cadenas de bloques están mejorando en la navegación por el sombrío mundo de los ciberdelincuentes y los mezcladores de criptomonedas. En septiembre de 2022, investigadores estadounidenses recuperaron 30 millones de dólares robados en el ataque Axie Infinity.

Investigar apropiaciones de dinero como Atomic Wallet y recuperar la mayor parte de las criptomonedas robadas es importante no solo para devolverlas a las víctimas, sino también para mantenerlas fuera del alcance de los líderes de Corea del Norte, que usan gran parte del dinero robado por Lazarus Group y otros. para financiar los programas militares y de armas nucleares del país. ®

Envíanos noticias