El colectivo de hackers norcoreanos Lazarus, famoso por haber llevado a cabo numerosos atracos a gran escala de criptomonedas a lo largo de los años, ha pasado a utilizar el mezclador de bitcoins YoMix para lavar las ganancias robadas.
Según un informe de la empresa de análisis de blockchain Chainalysis, Lazarus ha adaptado su proceso de lavado después de que los gobiernos sancionaran múltiples servicios de mezcla de bitcoins que utilizaba el actor de amenazas.
La firma dice que YoMix ha experimentado una afluencia masiva de fondos a lo largo de 2023, que no se atribuye al aumento de popularidad sino más bien a la actividad de Lazarus.
Operaciones de lavado de Lázaro
El robo de criptomonedas es sólo un aspecto de las operaciones de Lazarus, aunque es una parte muy importante de sus actividades, que se cree que financia no sólo las operaciones del grupo sino también el programa de desarrollo de armas de Corea del Norte.
Algunas de las mayores operaciones de robo de criptomonedas que Lazarus llevó a cabo en los últimos años incluyen el hackeo de Ronin Network (Axie Infinity) de marzo de 2022 que recaudó 625 millones de dólares.
El hackeo de Harmony Horizon en junio de 2022 que resultó en pérdidas de 100 millones de dólares y el robo de Alphapo de julio de 2023 de donde los piratas informáticos se embolsaron 60 millones de dólares en criptomonedas.
Desde enero de 2017 hasta diciembre de 2023, los grupos de hackers norcoreanos, incluidos Lazarus, Kimsuky y Andariel, han robado aproximadamente 3 mil millones de dólares en criptomonedas, según un informe de Recorded Future.
El dinero pasó por varios servicios de mezcla de monedas que no cumplen con las regulaciones contra el lavado y aceptan depósitos incluso de billeteras marcadas por actividad sospechosa.
Los mezcladores rebotan los activos a través de una red ofuscada de poseedores de criptomonedas y los reciben en nuevas direcciones de billetera que no pueden rastrearse hasta los ataques originales.
A lo largo de los años, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. identificó y sancionó algunas de las plataformas que Lazarus utilizó para lavar sus ganancias, incluidas Blender, Tornado Cash y Sinbad.
Sin embargo, cada vez que una plataforma era sancionada y aislada del espacio criptográfico, Lazarus se trasladaba a una nueva. Chainalysis dice que YoMix es el último servicio utilizado por el actor de amenazas norcoreano.
Tendencias de Blanqueo 2023
Chainalysis informa que YoMix experimentó un crecimiento masivo de fondos en el segundo trimestre de 2023, sostenido hasta fin de año, que se atribuye principalmente al lavado de dinero.
Chainalysis también dice que el año pasado notó una tendencia relacionada con la concentración de actividades de lavado de dinero en unos pocos servicios fiduciarios, con el 71,7% de todos los fondos ilícitos dirigidos a solo cinco servicios.
Sin embargo, a nivel de direcciones de depósito, el lavado de dinero se volvió menos concentrado, lo que sugiere que los delincuentes están diversificando sus actividades para evitar la detección y la congelación de activos por parte de los equipos de aplicación de la ley y cumplimiento.
Otros aspectos destacados del informe incluyen:
- Las direcciones de billeteras criptográficas marcadas enviaron 22.200 millones de dólares a servicios en 2023, una disminución con respecto a los 31.500 millones de dólares en 2022.
- 109 direcciones de depósito de intercambio recibieron más de 10 millones de dólares en criptomonedas ilícitas cada una en 2023, recibiendo colectivamente 3.400 millones de dólares en criptomonedas ilícitas.
- El año pasado, los fondos enviados a los mezcladores desde direcciones marcadas fueron de 504,3 millones, un 50% menos que los mil millones de dólares en 2022.
- La utilización de puentes entre cadenas ha mostrado un crecimiento significativo en 2023, con 743,8 millones de dólares en criptomonedas recibidos, en comparación con 312,2 millones de dólares en 2022.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Aplicaciones de Android Plagadas de Malware detectadas en Google Play Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!
Ataque Cibernético al Hospital Infantil Lurie: Conoce el Impacto de las Operaciones El Hospital Infantil Lurie, una destacada instalación de atención pediátrica con sede en Chicago, enfrentó un grave revés al convertirse en víctima de un ciberataque. Este incidente imprevisto obligó al hospital a desconectar sus sistemas de TI, perturbando las operaciones habituales y causando retrasos en la atención médica para algunos pacientes. El Incidente de Ciberseguridad El hospital, conocido por su papel significativo en la atención pediátrica, ¡SEGUIR LEYENDO!
Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!
Ataque de ransomware corta la Comunicación con tierra de 1.000 barcos Una empresa noruega de gestión de riesgos marítimos está aprendiendo una lección en esa misma área, después de que un ataque de ransomware forzase la desconexión de su software ShipManager. El problema de desconexión dejó a más de 1000 barcos sin conexión con los servidores en tierra. El ataque ocurrió el 7 de Enero e involucró a un ataque ransomware, pero los barcos afectados no corren ¡SEGUIR LEYENDO!
Ataques de Malware Bumblebee regresan tras una Pausa de 4 Meses El malware Bumblebee regresó después de unas vacaciones de cuatro meses y se dirigió a miles de organizaciones en los Estados Unidos en campañas de phishing. Bumblebee es un cargador de malware descubierto en abril de 2022 y se cree que fue desarrollado por el sindicato de delitos cibernéticos Conti y Trickbot como reemplazo de la puerta trasera BazarLoader. El malware se distribuye comúnmente en campañas ¡SEGUIR LEYENDO!
