La agencia de policía noruega Økokrim ha anunciado la incautación de 60 millones de coronas noruegas (unos 5,84 millones de dólares) en criptomonedas robadas por el Grupo Lazarus en marzo de 2022 tras el hackeo del puente Axie Infinity Ronin.
“Este caso demuestra que también tenemos una gran capacidad para seguir el dinero en la cadena de bloques, incluso si los delincuentes usan métodos avanzados”, dijo la agencia. dicho en una oracion.
El desarrollo se produce más de 10 meses después de que el Departamento del Tesoro de EE. UU. Implicara al grupo de piratería respaldado por Corea del Norte por el robo de $ 620 millones del puente de cadena cruzada Ronin.
Luego, en septiembre de 2022, el gobierno de los EE. UU. anunció la recuperación de más de $ 30 millones en criptomonedas, lo que representa el 10% de los fondos robados.
Økokrim dijo que trabajó con socios internacionales encargados de hacer cumplir la ley para seguir y reconstruir el rastro del dinero, lo que dificulta que los actores criminales lleven a cabo actividades de lavado de dinero.
“Este es dinero que puede apoyar a Corea del Norte y su programa de armas nucleares”, agregó. “Por lo tanto, ha sido importante rastrear la criptomoneda y tratar de detener el dinero cuando intentan retirarlo en activos físicos”.
El desarrollo se produce cuando los intercambios de criptomonedas Binance y Huobi congelaron cuentas que contenían aproximadamente USD 1,4 millones en moneda digital que se originaron a partir del hackeo de junio de 2022 de Harmony’s Horizon Bridge.
El ataque, también atribuido al Grupo Lazarus, permitió a los actores de amenazas lavar parte de las ganancias a través de Tornado Cash, que fue sancionado por el gobierno de EE. UU. en agosto de 2022.
“Los fondos robados permanecieron inactivos hasta hace poco, cuando nuestros investigadores comenzaron a verlos canalizados a través de cadenas complejas de transacciones, hacia intercambios”, la firma de análisis de blockchain Elliptic. dicho la semana pasada.
Además, hay indicios de que Blender, otro mezclador de criptomonedas que fue sancionado en mayo de 2022, puede haber resucitado como Sinbad, lavando casi $100 millones en Bitcoin de hacks atribuidos al Grupo Lazarus, dijo Tom Robinson de Elliptic a The Hacker News.
De acuerdo con la compañíalos fondos desviados a raíz del robo de Horizon Bridge fueron “lavados a través de una serie compleja de transacciones que involucran intercambios, puentes entre cadenas y mezcladores”.
“Se usó Tornado Cash una vez más, pero en lugar de Blender, se usó otro mezclador de Bitcoin: Sinbad”.
Aunque el servicio se lanzó solo a principios de octubre de 2022, se estima que facilitó decenas de millones de dólares de Horizon y otros hacks vinculados a Corea del Norte.
En el período de dos meses que va desde diciembre de 2022 hasta enero de 2023, el grupo de estado-nación ha enviado un total de 1.429,6 Bitcoin por un valor aproximado de 24,2 millones de dólares al mezclador, Chainalysis. reveló a principios de este mes.
La evidencia de que Sinbad es “muy probablemente” un cambio de marca de Blender se deriva de las superposiciones en la dirección de la billetera utilizada, su nexo con Rusia y los puntos en común en la forma en que ambos mezcladores funcionan.
“El análisis de las transacciones de blockchain muestra que una billetera de Bitcoin utilizada para pagar a las personas que promovían Sinbad, recibió Bitcoin de la billetera del operador de Blender sospechoso”, dijo Elliptic.
“El análisis de las transacciones de blockchain muestra que casi todas las primeras transacciones entrantes a Sinbad (alrededor de $ 22 millones) se originaron en la billetera del operador de Blender”.
El creador de Sinbad, que se conoce con el alias “Mehdi”, dijo CABLEADO que el servicio se lanzó en respuesta a la “creciente centralización de las criptomonedas” y que es un proyecto legítimo legítimo de preservación de la privacidad en la línea de Monero, Zcash, Wasabi y Tor.
Los hallazgos también llegan cuando las entidades de atención médica están en el punto de mira de una nueva ola de ataques de ransomware orquestados por los actores de Lazarus para generar ingresos ilícitos para la nación afectada por las sanciones.
Las ganancias obtenidas de estos ataques con motivación financiera se utilizan para financiar otras actividades cibernéticas que incluyen el espionaje del sector de defensa y las organizaciones de base industrial de defensa en Corea del Sur y EE. UU., según un aviso conjunto emitido por los dos países.
Pero las acciones de aplicación de la ley aún no han frenado la prolífica ola de ataques del actor de amenazas, que ha seguido evolucionando con nuevos comportamientos.
Esto comprende una amplia gama de técnicas antiforenses que están diseñadas para borrar los rastros de las intrusiones, así como para obstruir el análisis, reveló AhnLab Security Emergency Response Center (ASEC) en un informe reciente.
“El grupo Lazarus realizó un total de tres técnicas: ocultación de datos, eliminación de artefactos y ofuscación de rastros”, investigadores de ASEC dicho.
About the Author
