A BitMEX afirmou ter frustrado uma tentativa de ataque de phishing do Grupo Lazarus. O grupo tentou realizar um ataque hacker contra um funcionário da exchange, mas não teve sucesso.
Junto com a confirmação do ataque, a BitMEX aproveitou para dar uma alfinetada nos hackers. De acordo com a exchange, a ação do Lazarus utilizou métodos “pouco sofisticados” para tentar fazer o ataque.
Isso porque o Lazarus tentou abordar o funcionário da plataforma via LinkedIn sob o pretexto de oferecer uma colaboração Web3 NFT. Segundo a BitMEX, a ideia do ataque era induzir a vítima a executar um projeto do GitHub contendo código malicioso em seu computador.
Como a pessoa (cuja identidade está sob sigilo) trabalha para a BitMEX, o código daria aos hackers acesso à plataforma caso o funcionário tivesse executado o programa. Esse tipo de golpe se tornou uma marca registrada das operações do Lazarus, mas dessa vez não funcionou.
“A interação é praticamente conhecida se você estiver familiarizado com as táticas do Lazarus”, escreveu a BitMEX.
A equipe de segurança identificou rapidamente o payload JavaScript ofuscado e o rastreou até uma infraestrutura anteriormente vinculada ao grupo.
Confira nossas sugestões de Pre-Sales para investir agora
Desde que o Lazarus promoveu o maior ataque da história contra a Bybit, a comunidade passou a ficar mais atenta ao modo de operação do grupo. A própria Bybit convocou as demais empresas de criptomoedas a se unir e combater as ações dos criminosos, que possuem conexão com o governo da Coreia do Norte.
Tentativa de ataque “rudimentar”, diz BitMEX
Uma provável falha na segurança operacional também revelou que um dos endereços IP vinculados às operações norte-coreanas estava localizado na cidade de Jiaxing, na China. Essa também é uma característica do grupo: realizar ataques de localidades distintas.
“Um padrão comum em suas principais operações é o uso de métodos relativamente pouco sofisticados, muitas vezes começando com phishing, para se infiltrar nos sistemas de seus alvos. Isso pode ser observado pelos muitos exemplos documentados de práticas inadequadas provenientes desses grupos de ‘linha de frente’. Ou seja, eles executam ataques de engenharia social básicas, em comparação com as técnicas de pós-exploração mais sofisticadas”, disse a BitMEX.
O Grupo Lazarus é um termo genérico, já que não se trata de um grupo homogêneo. Esse termo é usado por empresas de segurança cibernética para descrever diversas equipes de hackers que operam sob a direção do regime ditatorial de Kim-jong Un.
Em 2024, a Chainalysis atribuiu US$ 1,34 bilhão em criptomoedas roubadas a agentes norte-coreanos, representando 61% de todos os roubos naquele ano. Os números contribuíram para o crescimento das reservas de Bitcoin (BTC) do país, que superaram as de El Salvador e Butão somente com o ataque contra a Bybit.
Ameaça do Lazarus permanece
O fundador e CEO da Nominis, Snir Levi, o crescente conhecimento das táticas do Lazarus Group não o torna necessariamente menos ameaçador. Pelo contrário, o grupo segue ativo e fazendo vítimas.
“O Lazarus Group usa diversas técnicas para roubar criptomoedas. Com base nas reclamações que coletamos de indivíduos, podemos presumir que eles tentam fraudar as pessoas diariamente”, alertou Levi.
Antes do ataque contra a Bybit, o Lazarus foi suspeito de roubar quase US$ 240 milhões de uma única carteira de Bitcoin.
