Os hackers norte-coreanos do grupo Lazarus realizaram mais uma grande operação de lavagem de criptomoedas, cashcom sucesso US$ 300 milhões de seu roubo recorde de US$ 1,5 bilhão na corretora de criptomoedas ByBit, de acordo com a empresa de análise de blockchain Elliptic.
Criminosos cibernéticos, a serviço do regime norte-coreano, roubaram os fundos há duas semanas, no que se tornou o maior ataque cibernético da história. Apesar dos esforços globais para trace congelar os ativos roubados, pelo menos 20% do dinheiro desapareceu.
Os fundos roubados estão sendo canalizados através de um elaborado processo de lavagem de dinheiro, e especialistas alertam que o dinheiro provavelmente está financiando os programas nucleares e militares da Coreia do Norte.
Analistas de criptomoedas trac as movimentações dizem que os hackers estão trabalhando sem parar, usando ferramentas sofisticadas para evitar a detecção. "Cada minuto importa para os hackers que estão tentando confundir o rastro do dinheiro, e eles são extremamente sofisticados no que fazem", disse Tom Robinson, cofundador da Elliptic.
A falha de segurança da ByBit permitiu que a Lazarus desviasse fundos
O ataque à ByBit ocorreu em 21 de fevereiro, quando o grupo Lazarus se infiltrou em um dos fornecedores da ByBit. Os hackers alteraram secretamente o destino de uma transferência maciça de 401.000 ETH, fazendo com que a ByBit enviasse os fundos diretamente para suas mãos, em vez de para sua própria carteira.
Os criminosos aproveitaram a brecha antes mesmo que a corretora percebesse o que havia acontecido. O CEO da ByBit, Ben Zhou, confirmou que nenhum fundo de cliente foi afetado, mas a empresa teve que repor o dinheiro roubado por meio de empréstimos de investidores.
“Estamos declarando guerra à Lazarus”, disse Ben, anunciando um programa de recompensas onde as pessoas podem ganhar prêmios por ajudar trace congelar os fundos roubados.
Até o momento, 20 pessoas receberam um total de US$ 4 milhões em recompensas por ajudarem a recuperar US$ 40 milhões em criptomoedas roubadas. A estratégia se baseia no fato de que todas as transações são registradas em um blockchain público, o que possibilita traca movimentação do dinheiro roubado. Mas o problema é que Lazarus é muito eficiente em lavar criptomoedas.
Lazarus está usando corretoras de criptomoedas para cash fundos roubados
Embora a ByBit e outras corretoras estejam ativamente congelando fundos roubados, nem todas as empresas de criptomoedas estão cooperando. Uma corretora, a eXch, foi acusada de permitir que Lazarus cash mais de US$ 90 milhões. A ByBit e outras empresas criticaram Johann Roberts, proprietário da eXch, por não ter agido com rapidez suficiente para bloquear os criminosos.
Roberts, no entanto, nega as acusações. Por e-mail, ele admitiu que a eXch inicialmente não congelou os fundos roubados, alegando que sua empresa estava em uma disputa de longa data com a ByBit e não tinha certeza se os fundos eram provenientes do ataque.
Ele agora afirma que a eXch está cooperando, mas, ao mesmo tempo, criticou a pressão por mais regulamentação, argumentando que isso compromete a privacidade e o anonimato das criptomoedas.
Os Estados Unidos e seus aliados culpam a Coreia do Norte por dezenas de ataques cibernéticos a criptomoedas ao longo dos anos, usando fundos roubados para sustentar a economia do país, afetada por sanções.
Anteriormente, o grupo Lazarus focava em ataques a bancos, mas nos últimos cinco anos, as corretoras de criptomoedas se tornaram seu principal alvo. A Dra. Dorit Dor, especialista em cibersegurança da Check Point, afirma que a Coreia do Norte aperfeiçoou a arte do cibercrime.
“A Coreia do Norte é um sistema e uma economia muito fechados, então eles criaram uma indústria de sucesso para a pirataria informática e a lavagem de dinheiro, e não se importam com a má reputação dos crimes cibernéticos”, disse ela.
O ataque à ByBit é apenas o mais recente de uma longa lista de ataques do grupo Lazarus, incluindo o ataque à UpBit em 2019 (US$ 41 milhões roubados), o ataque à KuCoin em 2020 (US$ 275 milhões roubados, a maior parte recuperada), o ataque à Ronin Bridge em 2022 (US$ 600 milhões roubados) e a violação da Atomic Wallet em 2023 (US$ 100 milhões roubados)
Os EUA incluíram membros do grupo Lazarus em sua lista de cibercriminosos mais procurados, mas as chances de alguém ser preso são mínimas, a menos que deixe a Coreia do Norte.
Apesar das sanções internacionais e tracconstante das autoridades policiais, Lazarus continua realizando alguns dos maiores roubos do mundo — e cashcom isso.
