El grupo APT norcoreano, conocido como Lazarus, ha sido vinculado al reciente suceso en Atomic Wallet, donde se produjo un hurto de más de 35 millones de dólares en criptomonedas. Esta atribución viene de por parte de las investigadores en blockchain de Elliptic, que han estado rastreando los fondos robados y sus movimientos a través de billeteras, mezcladores y otras vías de lavado de criptoactivos.
Contexto: Recientemente hubo un ataque a las billeteras de Atomic Wallet ocurrido durante el fin de semana pasado, cuando numerosos usuarios informaron que sus billeteras estaban siendo comprometidas y sus fondos habían sido robados.
Mientras se llevaba a cabo la investigación del incidente, el criptoanalista ZachXBT calculó las pérdidas en más de $35 millones de dólares, y la víctima individual más grande perdió casi el 10% del total robado.
En una publicación Elliptic, informó que su análisis estaría apuntando a Lazarus Group como los actores de amenazas responsables del ataque, lo que convierte a este hecho en el primer gran robo de criptomonedas de los hackers en 2023.
El año pasado, el FBI atribuyó a Lazarus el hackeo del Puente Harmony Horizon en junio de 2022, que resultó en el robo de $100 millones de dólares, y también el hackeo de Axie Infinity en marzo de 2022, del cual los norcoreanos desviaron $620 millones de dólares en criptomonedas, usando principalmente ETH para el lavado de activos, y el ya extinto servicio, tornadocash.
El último ataque a Atomic Wallet muestra que los actores de la amenaza siguen centrados en los objetivos monetarios, que según los expertos se utilizan directamente para financiar el programa de desarrollo de armas de Corea del Norte.
«En Elliptic, hemos identificado una gran cantidad de billeteras de víctimas, lo que permite rastrear los fondos robados en nuestro software«, se lee en el informe de Elliptic. «Nuestro análisis de las transacciones del ladrón nos lleva a atribuir este hackeo al Grupo Lazarus de Corea del Norte, con un alto nivel de confianza«.
La primera evidencia que apunta al grupo Lazarus es la estrategia de lavado observada, que coincide con los patrones vistos en ataques anteriores por parte del actor de amenazas.
El segundo elemento de la atribución es usar el mezclador Sinbad para lavar los fondos robados, que el grupo de amenazas también usó en el hackeo de Harmony Horizon Bridge.
Elliptic ha dicho anteriormente que los piratas informáticos de Corea del Norte han pasado decenas de millones de dólares a través de Sinbad, lo que demuestra confianza en el nuevo mezclador.
La tercera y más significativa prueba de la participación de Lazarus en el hackeo de Atomic Wallet es que porciones sustanciales de la criptomoneda robada terminaron en billeteras que contienen las ganancias de los hackeos anteriores de Lazarus y se supone que pertenecen a miembros del grupo.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
