CoinsPaid, juntamente con Match Systems, llevó a cabo una investigación detallada del reciente ataque por parte de Lazarus Group, revelando los detalles del hackeo y cómo se lavaron los fondos robados.
CoinsPaid, el proveedor de criptopagos más grande del mundo, reveló los resultados de su investigación sobre el reciente ataque de Lazarus Group a su infraestructura. La investigación se llevó a cabo en cooperación con Match Systems. Los resultados muestran que los hackers pasaron aproximadamente seis meses estudiando a CoinsPaid y rastreando las peculiaridades de los servicios de pago de la empresa. La empresa también siguió las acciones de los hackers minuto a minuto durante el ataque e identificó qué servicios y plataformas se utilizaron para lavar los fondos robados.
La empresa estuvo bajo ataque desde marzo de 2023. Se utilizaron métodos DDos y BruteForce para buscar vulnerabilidades. Por ejemplo, se registró un ataque masivo a la infraestructura y aplicaciones de CoinsPaid el 7 de julio. En el lapso de una hora, se observó una actividad de red inusualmente alta, con más de 150.000 direcciones IP diferentes involucradas en el ataque.
También se utilizó la ingeniería social de manera activa. A lo largo de la primavera, los hackers indagaron en los detalles de la infraestructura técnica de diversas formas. Por ejemplo, uno de los intentos para obtener dicha información estaba disfrazado como una solicitud de una startup de criptoprocesamiento de Ucrania.
Las técnicas de ingeniería social también involucraron el envío masivo de correos electrónicos y phishing agresivo con el objetivo de obtener acceso a las cuentas de los miembros del equipo y los clientes de CoinsPaid. Durante junio y julio, los hackers iniciaron falsas contrataciones de empleados críticos de la empresa, enviando ofertas a través de LinkedIn y diferentes aplicaciones de mensajería.
Reclutadores falsos enviaron ofertas de trabajo con salarios que oscilaban entre 16.000 $ y 24.000 $ al mes. Durante el proceso de entrevista, los “candidatos” fueron engañados para que instalaran JumpCloud Agent o un programa especial para completar tareas técnicas que contenían malware. Según el informe, JumpCloud aparentemente fue hackeada en julio de 2023, específicamente para atacar a empresas de criptomonedas.
Es importante señalar que todas las acciones fueron planificadas meticulosamente, lucían sumamente plausibles y no generaban dudas en las mentes de las víctimas. Los hackers pasaron medio año estudiando a CoinsPaid, recopilando información sobre la estructura y las características técnicas de la empresa para formar dichas condiciones. Finalmente, el 22 de julio de 2023, los hackers lograron atacar la infraestructura de la empresa. Consiguieron acceso a la computadora de un empleado y obtuvieron datos para establecer una conexión con la infraestructura de CoinsPaid, después de lo cual abrieron un backdoor aprovechando una vulnerabilidad en el clúster.
El informe señala que no había forma de comprometer los sistemas de CoinsPaid externamente. Los atacantes tampoco lograron hackear las billeteras calientes de CoinsPaid, ya que habían obtenido claves privadas para acceder directamente a los fondos. Sin embargo, el backdoor y la cuidadosa preparación técnica les permitieron crear solicitudes autorizadas para retirar fondos de las billeteras calientes. El sistema aceptaba estas solicitudes como válidas y luego las enviaba a la blockchain para su posterior procesamiento. Después de un tiempo, las herramientas internas de seguridad detectaron actividad sospechosa y posteriormente se eliminó la vulnerabilidad.
Inmediatamente después del ataque, especialistas de Match Systems fueron involucrados y llevaron a cabo un conjunto de medidas operativas para rastrear y posiblemente congelar los fondos robados. De este modo, se rastreó toda la cadena de transacciones utilizada por los hackers para el lavado de dinero. La mayoría de los activos, después de pasar por servicios de swap, mezcladores y Avalanche Bridge, fueron transferidos a las direcciones de los atacantes a través del servicio SwftSwap. Perdieron alrededor del 15% en tarifas y volatilidad. El trabajo para recuperar los fondos robados está en curso.
La implicación de Lazarus Group queda evidenciada por el uso de las mismas tácticas y esquemas de lavado de dinero utilizados en el reciente ataque a Atomic Wallet.
El informe de CoinsPaid proporciona más detalles y una lista de recomendaciones para reducir la probabilidad de incidentes similares en el futuro. La empresa también planea llevar a cabo un evento especial con actores clave en el mercado de criptopagos para compartir lecciones aprendidas y ayudar a minimizar el impacto de los ataques de hackers.
Vale la pena señalar que la ingeniería social y el phishing son las principales amenazas para la ciberseguridad, esta opinión fue expresada por el 75% de los profesionales encuestados durante la investigación de CS Hub; además, los especialistas de la empresa revelaron que en 2022, el número de ataques de phishing en el criptomercado aumentó un 40% en comparación con el año anterior.