El pasado viernes, la firma de inteligencia y análisis blockchain Elliptic Ltd., publicó un informe el viernes donde se evidenció que los cibercriminales de élite de Corea del Norte, denominados Lazarus Group, llamados también (APT38), han intensificado sus operaciones en las últimas semanas.
De acuerdo con el informe, este grupo ha realizado cuatro ataques confirmados contra entidades criptográficas desde el 3 de junio, aunque ahora se cree que son responsables de un quinto, luego del ciberataque dirigido contra el criptointercambio CoinEx, la semana pasada.
Urgent Notice: Security Incident on CoinEx – Immediate Actions Underway
On September 12, 2023, our Risk Control System detected anomalous withdrawals from several hot wallet addresses used to store CoinEx’s exchange assets. Promptly recognizing the gravity of the situation, we…
— CoinEx Global (@coinexcom) September 12, 2023
El criptointercambio CoinEx, fue atacado el pasado 12 de septiembre. Su Sistema de Control de Riesgos detectó ciberataques anómalos a varias hot wallets que almacenan activos del criptointercambio, a las 21:20 UTC+8.
El equipo de CoinEx, inicialmente concluyó que la causa fue la vulneración de las claves privadas de las hot wallets que almacenan temporalmente los activos del criptointercambio para facilitar las transacciones, aunque las causas específicas y el detalle de cómo se llevó a cabo esta violación de seguridad, aún continua en estudio a través de los análisis post mortem de los sistemas.
Ello, derivó en la implementación de un protocolo que llevó a la suspensión de todos los depósitos y retiros y ejecutó un cierre de emergencia del servidor de las hot wallets. Además, se transfirieron los activos restantes a almacenamiento en frío seguro. También informaron que reconstruirían y desplegarían una nueva arquitectura de billeteras.
#CoinExResponseUpdate – We have identified and isolated the suspicious wallet addresses linked to the hack:$ETH:
*0xce013682eddefaca8c94fe56a43a04212ebe4673
*0x8bf8cd7F001D0584F98F53a3d82eD0bA498cC3dE
*0xCC1AE485b617c59a7c577C02cd07078a2bcCE454…— CoinEx Global (@coinexcom) September 12, 2023
Pero, también harían seguimiento a los activos robados y se comunicarían con otros criptointercambios para congelar oportunamente los activos relacionados con el ciberataque. En cualquier caso, el monto robado en el ciberataque, no se conoce con certeza, aunque se estima en unos 54 millones de dólares.
De allí que, la firma Elliptic, dijo en su informe donde advierte que Lazarus Group, ha estado muy activos durante los últimos 104 días y que habían sido identificados como los responsable del robo de casi 240 millones de dólares en criptoactivos, luego de cuatro ciberataques.
El primero de ellos, contra Atomic Wallet que dejó un botín de 100 millones de dólares, el segundo contra CoinsPaid, que terminó en el robo de 37,3 millones de dólares, posteriormente el ciberataque contra Alphapo, que derivó en la pérdida de 60 millones de dólares y por último el ciberataque contra Stake.com, que robó 41 millones de dólares.
La firma Elliptic, sospecha que Lazarus Group fue el causante de este ciberataque contra CoinEx. Y por ello, la firma de inteligencia y análisis blockchain, mostró un gráfico, que confirma que algunos de los fondos robados de CoinEx se enviaron a una dirección que fue utilizada por el grupo Lazarus para lavar fondos robados de Stake.com, aunque en una cadena de bloques diferente.
Elliptic, confirmó que luego de esto, los fondos se conectaron a Ethereum, utilizando un puente empleado anteriormente por los norcoreanos de Lazarus Group, y posteriormente se enviaron de regreso a una dirección que se sabe que está controlada por el mismo grupo.
Según el informe, esta mezcla de fondos de dos ciberataques separados de Lazarus Group, demuestra que el responsable es el mismo atacante. Y es que en esa mezcla se unieron los fondos robados de Stake.com y se superpusieron con fondos robados de Atomic Wallet, para consolidar los fondos robados.
Already identified as responsible for stealing almost $240m in crypto from four crypto entities since June 3rd, North Korean hacking group Lazarus is suspected of carrying out an attack on CoinEx on September 12. Read more: https://t.co/j2DpFXLGEA
— Elliptic (@elliptic) September 15, 2023
Para la firma Elliptic, el principal responsable del robo de fondos de CoinEx, es el mismo grupo cibercriminal de Corea del Norte, al cual se le atribuyen ahora, cinco ciberataques en 104 días por una cifra de 238,3 millones de dólares exactos a los cuales se sumarían los 54 millones del golpe a CoinEx, lo cual es señal que está intensificando su actividad.
Sin embargo, a pesar de este aumento de su actividad, los ciberataques de Lazarus Group, están lejos de la marca que dejaron en 2022, cuando el grupo cibercriminal realizó ataques de alto perfil, incluidos los ataques al puente Horizon de Harmony y al puente Ronin de Axie Infinity, los cuales ocurrieron desde la primera mitad del año pasado.
Los cibercriminales norcoreanos impulsaron los robos de criptomonedas a un récord de casi 1.700 millones de dólares el año pasado, por lo que la zafra de 2023, está todavía muy lejos de lo obtenido durante 2022, de acuerdo con un informe de otra empresa de análisis blockchain, Chainalysis.
De hecho, en una investigación anterior de Elliptic sobre los hacks de DeFi de 2022, se encontró que se producía un exploit cada cuatro días, de los cuales, cada uno dejaba un botín para Lazarus Group un promedio de 32,6 millones de dólares.
No obstante, la firma Elliptic luego de un análisis de la forma en que está atacando Lazarus Group, sugiere que desde el año pasado han cambiado su enfoque de los servicios descentralizados como puentes de ecosistema de finanzas descentralizadas (DeFi), mixers, criptointercambios (DEX) y otros, para enfocar sus ataques sobre los criptointercambios centralizados (CEX) en 2023.
De hecho, el patrón de cuatro de los cinco ciberataques recientes realizados por Lazarus Group, pertenecen a proveedores de servicios de activos virtuales centralizados o CEX, de acuerdo al informe realizado por Elliptic.
Este patrón de ataques, de solo atacar a criptointercambios CEX, había sido el objetivo elegido por el mismo grupo norcoreano antes de 2020, previo al rápido aumento del ecosistema de servicios DeFi, lo cual muestra que posiblemente, estén cambiando sus tácticas.
Según Elliptic, este cambio en los patrones de ataque, puede obedecer al hecho, que se han impulsado mejoras en los estándares de desarrollo y auditoría de contratos inteligentes de los diferentes puentes DeFi, reduciendo así las posibilidades de que los cibercriminales identifiquen y exploten vulnerabilidades en estos sistemas.
En cualquier caso, muchas de estas empresas salen fortalecidas de este tipo de experiencias y CoinEx, no desaprovechará esta oportunidad para hacer un sistema más robusto. Debido a ello, CoinEx publicó en la red social X, (anteriormente Twitter), una carta abierta dirigida a los piratas informáticos que deseen trabajar en su equipo.
#CoinExResponseUpdate – CoinEx’s Open Letter to Hackers
To Hackers,
We entered this industry with a vision of “making the world a better place via blockchain.” Like millions of blockchain enthusiasts who share the same faith, we strive to build an open, interconnected, and…
— CoinEx Global (@coinexcom) September 15, 2023
El criptointercambio, dijo en su nota, que animaba a los hackers a comunicarse y negociar con ellos activamente señalando: “Si está dispuesto a devolver los activos robados, le ofreceremos una generosa recompensa por errores como recompensa”.