Análise dos ataques de encriptação e das técnicas de lavagem de dinheiro do grupo de hackers norte-coreano Lazarus Group

Recentemente, um relatório secreto da ONU revelou as últimas ações do grupo de hackers norte-coreano Lazarus Group. Sabe-se que a organização, após roubar fundos de uma exchange de ativos de criptografia no ano passado, lavou 147,5 milhões de dólares através de uma plataforma de moeda virtual em março deste ano.

Os inspetores do comitê de sanções do Conselho de Segurança da ONU estão investigando 97 ataques cibernéticos suspeitos de hackers da Coreia do Norte contra empresas de ativos de criptografia, ocorridos entre 2017 e 2024, envolvendo um montante de até 3,6 bilhões de dólares. Entre eles está o roubo de 147,5 milhões de dólares de uma bolsa de ativos de criptografia no final do ano passado, que depois passou pelo processo de lavagem de dinheiro em março deste ano.

Vale a pena notar que uma plataforma de mistura de moedas foi sancionada pelos EUA em 2022, e no ano seguinte, dois de seus cofundadores foram acusados de ajudar na lavagem de dinheiro de mais de 1 bilhão de dólares, incluindo fundos relacionados ao grupo de cibercrime Lazarus Group da Coreia do Norte.

De acordo com a pesquisa de analistas de ativos de criptografia, o Lazarus Group converteu 200 milhões de dólares em ativos de criptografia para moeda fiduciária entre agosto de 2020 e outubro de 2023.

O Grupo Lazarus tem sido acusado há muito tempo de realizar ataques cibernéticos em larga escala e crimes financeiros. Seus alvos estão espalhados pelo mundo, envolvendo sistemas bancários, bolsas de Ativos de criptografia, instituições governamentais e empresas privadas em vários setores.

Métodos de ataque do Grupo Lazarus

Engenharia social e ataques de phishing

O Lazarus Group já teve como alvo empresas de defesa e aeroespaciais na Europa e no Oriente Médio. Eles publicaram anúncios de emprego falsos em plataformas sociais para enganar candidatos a emprego a baixar arquivos PDF contendo malware, realizando assim ataques de phishing. Este método não se limita a setores específicos, tendo sido utilizado meios semelhantes em ataques a fornecedores de pagamentos de ativos de criptografia.

Vários ataques a plataformas de ativos de criptografia

De agosto a outubro de 2020, várias plataformas de ativos de criptografia sofreram ataques, incluindo uma exchange canadense, um projeto de blockchain e outra plataforma de negociação de criptografia. Os fundos envolvidos nesses ataques variaram de dezenas de milhares a milhões de dólares.

O atacante, através de uma série de transferências complexas e operações de mistura de moedas, reúne os fundos roubados em um endereço específico. Em seguida, utilizam serviços de mistura de moedas para realizar a lavagem de dinheiro e transferem os fundos lavados para plataformas de retirada.

Ataque a alvos de alta visibilidade

Em dezembro de 2020, o fundador de uma plataforma de seguros mutualistas sofreu um ataque de hacker, resultando em uma perda de cerca de 8,3 milhões de dólares. Os atacantes realizaram a transferência e troca de fundos através de vários endereços, utilizando técnicas como cross-chain e mistura de moedas para ocultar o fluxo de fundos. No final, a maior parte dos fundos roubados foi transferida para um endereço específico de retirada.

Últimos casos de ataque

Em 2023, dois ataques a projetos DeFi chamaram a atenção. Os atacantes transferiram os éteres roubados para serviços de mistura, e depois, através de uma série de endereços, acabaram por enviar os fundos para plataformas de levantamento frequentemente usadas.

O modelo de lavagem de dinheiro do Lazarus Group

Através da análise dos casos acima, pode-se resumir o típico padrão de lavagem de dinheiro do Lazarus Group:

1. Confusão de fundos: utilizar operações entre cadeias e serviços de mistura de moedas para confundir a origem dos fundos.
2. Transferência descentralizada: transferir fundos através de vários endereços intermediários.
3. Agregação de fundos: Reunir os fundos lavados em um endereço específico.
4. Retirada final: utilizar uma plataforma de retirada fixa para converter ativos de criptografia em moeda fiduciária.

Este complexo processo de lavagem de dinheiro torna extremamente difícil o rastreamento e a recuperação de ativos roubados.

Diante dos contínuos ataques em larga escala do Lazarus Group, a indústria Web3 enfrenta sérios desafios de segurança. As instituições relevantes estão continuamente monitorando os movimentos desse hacker, na esperança de poder combater efetivamente esse tipo de crime e preservar a segurança do ecossistema de ativos de criptografia.