El Departamento del Tesoro de EE. UU. implicó al Grupo Lazarus (también conocido como Hidden Cobra), respaldado por Corea del Norte, en el robo de 540 millones de dólares del Ronin Network del videojuego Axie Infinity el mes pasado.
El jueves, Hacienda atado el etéreo dirección de la billetera que recibió los fondos robados al actor de la amenaza y sancionó los fondos agregando la dirección a los ciudadanos especialmente designados de la Oficina de Control de Activos Extranjeros (OFAC) (SDN) Lista.
«El FBI, en coordinación con el Tesoro y otros socios del gobierno de EE. UU., continuará exponiendo y combatiendo el uso de actividades ilícitas por parte de la RPDC, incluidos los delitos cibernéticos y el robo de criptomonedas, para generar ingresos para el régimen», dijo la agencia de inteligencia y aplicación de la ley. dicho en una oracion.
El atraco de criptomonedas, el segundo más grande robo de criptomonedas hasta la fecha, involucró el desvío de 173 600 Ether (ETH) y 25,5 millones de USD Coins del puente de cadena cruzada Ronin, que permite a los usuarios transferir sus activos digitales de una criptored a otra, el 23 de marzo de 2022.
«El atacante usó claves privadas pirateadas para falsificar retiros falsos», Ronin Network explicado en su informe de divulgación una semana después de que saliera a la luz el incidente.
Las sanciones prohíben que las personas y entidades estadounidenses realicen transacciones con la dirección en cuestión para garantizar que el grupo patrocinado por el estado no pueda retirar más fondos. Un análisis de Elliptic encontró que el actor logró lavar el 18% de los fondos digitales desviados (alrededor de $ 97 millones) a partir del 14 de abril.
«Primero, el USDC robado se cambió por ETH a través de intercambios descentralizados (DEX) para evitar que sea incautado», Elliptic anotado. «Al convertir los tokens en DEX, el pirata informático evitó las comprobaciones contra el lavado de dinero (AML) y ‘conozca a su cliente’ (KYC) realizadas en los intercambios centralizados».
Casi $ 80,3 millones de los fondos lavados involucraron el uso de Tornado Cash, un servicio de mezcla en la cadena de bloques Ethereum diseñado para ocultar el rastro de los fondos, con otros $ 9,7 millones en ETH que probablemente se laven de la misma manera.
Lazarus Group, un nombre general asignado a prolíficos actores patrocinados por el estado que operan en nombre de los intereses estratégicos de Corea del Norte, tiene un historial de robos de criptomonedas desde al menos 2017 para eludir las sanciones y financiar los programas nucleares y de misiles balísticos del país.
«Se cree que las operaciones de espionaje del país reflejan las preocupaciones y prioridades inmediatas del régimen, que probablemente se centre actualmente en adquirir recursos financieros a través de criptoatracos, apuntando a medios, noticias y entidades políticas, [and] información sobre relaciones exteriores e información nuclear», señaló Mandiant en una inmersión profunda reciente.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha pintado los ciberactores como un grupo cada vez más sofisticado que ha desarrollado y desplegado una amplia gama de herramientas de malware en todo el mundo para facilitar estas actividades.
Se sabe que el grupo saqueó un valor estimado de $ 400 millones en activos digitales de plataformas criptográficas en 2021, lo que marca un salto del 40% desde 2020, según Chainalysis, que encontró que «solo el 20% de los fondos robados eran Bitcoin, [and that] Ether representó la mayoría de los fondos robados con un 58%».
A pesar de sanciones impuestas por el gobierno de EE. UU. al colectivo de piratas informáticos, las campañas recientes emprendidas por el grupo han capitalizado aplicaciones de billetera de finanzas descentralizadas (DeFi) con troyanos para sistemas Windows de puerta trasera y malversación de fondos de usuarios desprevenidos.
Eso no es todo. En otra ofensiva cibernética revelada por Broadcom Symantec esta semana, el actor ha sido observado dirigido a organizaciones de Corea del Sur que operan dentro del sector químico en lo que parece ser una continuación de una campaña de malware denominada «Operación Dream Job», que corrobora los hallazgos del Grupo de Análisis de Amenazas de Google en marzo de 2022.
Las intrusiones, detectadas a principios de enero, comenzaron con un archivo HTM sospechoso recibido como enlace en un correo electrónico de phishing o descargado de Internet que, cuando se abre, desencadena una secuencia de infección, lo que finalmente conduce a la recuperación de una carga útil de segunda etapa de un servidor remoto para facilitar futuras incursiones.
El objetivo de los ataques, evaluó Symantec, es «obtener propiedad intelectual para promover los propios objetivos de Corea del Norte en esta área».
La continua avalancha de actividades ilícitas perpetradas por el Grupo Lazarus también ha llevado al Departamento de Estado de EE. anunciar una recompensa de 5 millones de dólares por «información que conduzca a la interrupción de los mecanismos financieros de las personas involucradas en ciertas actividades que apoyan a Corea del Norte».
El desarrollo se produce días después de que un tribunal estadounidense en Nueva York sentenciara a Virgil Griffith, un exdesarrollador de Ethereum de 39 años, a cinco años y tres meses de prisión por ayudar a Corea del Norte a usar monedas virtuales para evadir las sanciones.
Para empeorar las cosas, los actores malintencionados robaron $ 1.3 mil millones en criptomonedas solo en los primeros tres meses de 2022, en comparación con $ 3.2 mil millones que fueron saqueados durante todo 2021, lo que indica un «aumento meteórico» en los robos de plataformas criptográficas.
«Casi el 97% de todas las criptomonedas robadas en los primeros tres meses de 2022 se tomaron de los protocolos DeFi, frente al 72% en 2021 y solo el 30% en 2020», Chainalysis dicho en un informe publicado esta semana.
«Sin embargo, para los protocolos DeFi en particular, los robos más grandes generalmente se deben a un código defectuoso. Los exploits de código y los ataques de préstamo flash, un tipo de exploit de código que implica la manipulación de los precios de las criptomonedas, representaron gran parte del valor robado fuera del Ronin. ataque», dijeron los investigadores.