O provedor de serviços de pagamento criptográfico da Estônia, CoinsPaid, descobriu que o notório grupo de hackers Lazarus passou seis meses monitorando e estudando a plataforma antes de finalmente atacar em 22 de julho.
A ConsPaid fez parceria com a empresa de segurança cibernética Match Systems para rastrear os passos dos perpetradores minuto a minuto, bem como identificar quais serviços e plataformas foram usados para lavar fundos. Em um comunicado de imprensa compartilhado com o CryptoPotato , a plataforma disse que o Lazarus Group passou seis meses tentando invadir sistemas CoinsPaid e encontrar vulnerabilidades.
Orquestrando um roubo de $ 37,3 milhões
Desde março, a CoinsPaid revelou que tem sido atormentada por ataques contínuos com falha de vários tipos, desde engenharia social até DDos e BruteForce. Na mesma época, os principais engenheiros da empresa foram abordados por uma entidade que se apresentava como uma startup ucraniana de processamento de criptomoedas com uma série de solicitações relacionadas à infraestrutura técnica. Essa interação foi confirmada por três desenvolvedores-chave da CoinsPaid.
Em abril e maio, a CoinsPaid encontrou quatro ataques significativos contra seus sistemas que buscavam acesso não autorizado a contas pertencentes a funcionários da empresa e seus clientes. A atividade de spam e phishing contra os membros da equipe tem sido constante e muito agressiva, disse o comunicado de imprensa.
Nos meses de junho e julho seguintes, foi orquestrada uma campanha maliciosa envolvendo uma combinação de subornos e ofertas de emprego fictícias, todas dirigidas a funcionários-chave da empresa.
O invasor lançou um ataque meticulosamente planejado e executado contra a infraestrutura e os aplicativos da CoinsPaid em 7 de julho. O ataque, que ocorreu entre 20h48 e 21h42, demonstrou um aumento sem precedentes na atividade da rede, envolvendo mais de 150.000 endereços IP distintos.
Na trilha do ataque
O principal objetivo dos culpados era induzir um membro importante da equipe a instalar software, permitindo-lhes estabelecer controle remoto sobre um computador, infiltrando-se e obtendo acesso aos sistemas internos da CoinsPaid. Apesar de seis meses de tentativas fracassadas, os invasores conseguiram invadir sua infraestrutura em 22 de julho, resultando em uma perda de US$ 37,5 milhões.
Os invasores usaram técnicas de engenharia social altamente sofisticadas e vigorosas para obter acesso ao computador de um funcionário. Recrutadores de empresas de criptomoedas entraram em contato com os funcionários da CoinsPaid via LinkedIn e vários mensageiros, oferecendo salários atraentes.
Depois que um de seus funcionários respondeu a uma oferta de emprego se passando por Crypto.com, ele recebeu uma tarefa de teste que exigia a instalação de um aplicativo com código malicioso. Ao abrir a atividade de teste, os perfis e as chaves dos funcionários foram roubados do computador para estabelecer uma conexão com a infraestrutura da CoinsPaid.
O acesso permitiu que os hackers criassem solicitações autorizadas para sacar fundos das carteiras quentes da CoinsPaid. Mas os perpetradores não conseguiram quebrar as carteiras quentes e adquirir chaves privadas para acessar diretamente os fundos.
"Medidas de segurança interna ativaram o sistema de alarme e nos permitiram interromper rapidamente a atividade maliciosa e expulsar os hackers do perímetro da empresa."
A CoinsPaid disse ainda que, apesar das empresas de criptografia cumprirem as medidas KYC e usarem sistemas de pontuação de risco blockchain para detectar atividades suspeitas, os criminosos ainda conseguiram lavar com sucesso os fundos roubados.
A empresa apontou o dedo para o grupo Lazarus, pois os hackers usaram táticas semelhantes no roubo da carteira atômica.
O Post Lazarus Group passou seis meses tentando hackear sistemas de taxas de moedas por pontos fracos – o relatório apareceu pela primeira vez no CryptoPotato .