Fraudes & Hacks

Principais conclusões

• O Grupo Lazarus é uma equipe de hackers apoiada pelo estado norte-coreano responsável por roubos cibernéticos de bilhões de dólares. Suas operações financiam os programas de mísseis e nucleares do país.
• Lazarus emprega malware personalizado, vulnerabilidades zero-day e campanhas de spear-phishing para violar instituições financeiras, bolsas de criptomoedas e agências governamentais.
• Ataques notáveis incluem o hack de $1.5 biliões Bybit (2025), a violação de $625 milhões da Ponte Ronin (2022) e o assalto de $101 milhões ao Banco do Bangladesh (2016).
• O grupo utiliza desvio, portas dos fundos, técnicas anti-forenses e limpadores para ocultar os seus rastros e manter o acesso a longo prazo às redes comprometidas.

O ataque cripto Bybit em 21 de fevereiro de 2025 chamou a atenção mais uma vez para o notório Lazarus Group, "creditado" com uma série de ataques devastadores a empresas cripto. Desde 2017, o Grupo Lazarus roubou cerca de US$ 6 bilhões da indústria cripto,conformepara a empresa de análise de blockchain Elliptic. Não admira que o Lazarus tenha ganho o título de super-vilão no mundo das criptomoedas.

Como uma das organizações cibercriminosas mais prolíficas da história, o Grupo Lazarus utilizatáticas avançadas de hackinge muitas vezes operadores de primeira linha de colarinho branco, indicando apoio total do estado.

Isso levanta questões críticas sobre o Grupo Lazarus, sua execução do complexo ataque Bybit e outros hacks semelhantes, e como as organizações de criptomoedas podem combater essa ameaça crescente. Este artigo explora essas questões e muito mais.

Origens e antecedentes do Grupo Lazarus

O Grupo Lazarus é um ator de ameaças baseado na Coreia do Norte ou na República Popular Democrática da Coreia (RPDC), notório por espionagem cibernética e desvio de dinheiro.

Ativo desde 2009, está associado ao Reconnaissance General Bureau (RGB) do governo norte-coreano, a principal agência de inteligência da nação. O grupo de ameaças persistentes avançadas (APT) é conhecido por realizar sofisticados ataques multiplataforma a instituições financeiras,trocas de criptomoedas, pontos finais do sistema SWIFT, casinos e caixas automáticos em todo o mundo.

A ligação do grupo com a agência de inteligência da nação sugere patrocínio estatal. Os hackers recebem patrocínio estatal para suas atividades nefastas, o que significa que podem operar sem medo da aplicação da lei local. Suas atividades visam não apenas reunir informações, mas também angariar fundos para os programas de mísseis e nucleares do país.

O Federal Bureau of Investigation (FBI) dos EUA chama o Grupo Lazarus de uma “organização de hackers patrocinada pelo estado norte-coreano.” O desertor norte-coreano Kim Kuk-song revelou que a unidade é conhecida internamente como o Gabinete de Ligação 414 na Coreia do Norte.

Ao longo dos anos, o Grupo Lazarus aumentou significativamente a sofisticação e eficácia de suas táticas, bem como a escala de suas atividades.

Sabia? A Microsoft Threat Intelligence identificou uma equipa de hackers conhecida como “Sapphire Sleet” como um grupo de ameaça norte-coreano fortemente envolvido em roubo de criptomoedas e infiltração corporativa. O termo “sleet” indica as ligações norte-coreanas do grupo.

Como opera o grupo Lazarus?

Devido ao patrocínio estatal, o Grupo Lazarus tem os recursos e a experiência paraexecutar ciberataques complexosExecuta operações em várias camadas, que incluem o desenvolvimento e implementação de malware personalizado e a exploração de vulnerabilidades zero-day. O termo "vulnerabilidade zero-day" refere-se a uma falha de segurança em software ou hardware desconhecida pelo desenvolvedor. Isso significa que não há correção para ela nem preparação.

Uma marca do Grupo Lazarus é a criação de malware personalizado, como MagicRAT e QuiteRAT, projetados para infiltrar e controlar sistemas específicos. Eles também são conhecidos por aproveitar falhas de segurança previamente desconhecidas para invadir sistemas antes que correções estejam disponíveis.

A engenharia social é outro componente crítico da sua estratégia. Trata-se de hackers que usam emoções para enganar os utilizadores e persuadi-los a realizar uma ação específica, como partilhar dados cruciais. O grupo Lazarus conduz spear-campanhas de phishing, que enviam emails fraudulentos a indivíduos desprevenidos, fazendo-se passar pela sua rede para os induzir a revelar informações confidenciais.

Seuadaptabilidade e técnicas em evoluçãotornar o Grupo Lazarus uma ameaça persistente e formidável no cenário global de cibersegurança.

Principais roubos pelo Grupo Lazarus

Ao longo dos anos, houve uma série de ciberataques envolvendo o Grupo Lazarus. Aqui estão alguns roubos significativos executados pelo grupo:

Roubos de criptomoedas

1. Bybit (fevereiro de 2025)

Bybit, uma exchange de criptomoedas sediada em Dubai,sofreu uma enorme violação de segurança, perdendo $1.5 bilhões em ativos digitais em fevereiro de 2025, tornando-se o maior roubo de criptomoedas até à data.

O ataque visou a interface SafeWallet usada pelos executivos da Bybit para executar as transações fraudulentas. Os fundos roubados, principalmente em Ether, foram rapidamente dispersos por várias carteiras eliquidado através de diferentes plataformasO CEO da Gate.io, Ben Zhou, tranquilizou os utilizadores de que outras carteiras frias permaneceram seguras e que as retiradas funcionaram normalmente.

Empresas de análise de blockchain, incluindo Elliptic e Arkham Intelligence, rastrearam os ativos roubados e mais tarde atribuíram o ataque ao grupo Lazarus, apoiado pelo estado norte-coreano. A violação desencadeou uma onda de retiradas da Bybit, levando a exchange a garantir um empréstimo ponte para cobrir as perdas.

2. WazirX (julho de 2024)

Em julho de 2024, a WazirX, a maior bolsa de criptomoedas da Índia, sofreu uma violação significativa de segurança que resultou na perda de aproximadamente $234,9 milhões em ativos digitais. O ataque, atribuído ao grupo Lazarus da Coreia do Norte, envolveu técnicas sofisticadas de phishing e exploração de API.

Os hackers manipularam o sistema de carteira multisignature da WazirX, obtendo acesso não autorizado às carteiras quentes e frias. Esta violação levou à suspensão das atividades de negociação e desencadeou desafios legais, incluindo uma ação judicial da exchange rival CoinSwitch que busca recuperar $9,65 milhões em fundos retidos.

Em janeiro de 2025, o Tribunal Superior de Singapura aprovou o plano de reestruturação da WazirX, permitindo que a empresa se encontrasse com credores para discutir estratégias de recuperação de ativos.

3. Stake.com (setembro de 2023)

Em setembro de 2023, o grupo violou Stake.com, uma plataforma de apostas de criptomoedas, ao obter e utilizar dados roubados.chaves privadas. Isso permitiu-lhes desviar $41 milhões em várias redes blockchain.

O FBI dos EUAatribuídoEste roubo ao Grupo Lazarus, também conhecido como APT38. Os ativos roubados foram rastreados em várias redes blockchain, incluindo Ethereum, BNB Smart Chain e Polygon.

4. CoinEx (setembro de 2023)

Mais tarde, em setembro de 2023, a CoinEx, uma bolsa global de criptomoedas, relatou transações não autorizadas resultando em perdas estimadas em $54 milhões.

Investigações realizadas por analistas de blockchain, incluindo o analista onchain ZachXBT,padrões de carteira revelados e comportamentos on-chainligando esta violação ao hack anterior do Stake.com, sugerindo um esforço coordenado pelo Grupo Lazarus.

5. CoinsPaid e Alphapo (julho de 2023)

Em 22 de julho de 2023, a CoinsPaid sofreu um ciberataque meticulosamente planeado que resultou no roubo de 37,3 milhões de dólares. Os atacantes empregaram uma estratégia envolvendo suborno e campanhas falsas de contratação, visando pessoal crítico da empresa nos meses que antecederam a violação.

Durante o ataque, foi observado um aumento incomum na atividade da rede, com mais de 150.000 endereços IP diferentes envolvidos. Apesar da substancial perda financeira, a equipa interna da CoinsPaid trabalhou diligentemente para fortalecer os seus sistemas, garantindo que os fundos dos clientes permanecessem inalterados e totalmente disponíveis.

No mesmo dia, a Alphapo, um prestador centralizado de pagamentos de criptomoedas para várias plataformas online, sofreu uma violação de segurança em 23 de julho de 2023. Relatórios iniciais estimaram a perda em aproximadamente $23 milhões; no entanto, investigações posteriores revelaram que o montante total roubado excedia os $60 milhões. Analistas de blockchain atribuíram este ataque ao Grupo Lazarus, observando que os fundos roubados foram rastreados em várias endereços e cadeias.

6. Ponte do Horizonte da Harmonia (junho de 2022)

O grupo Lazarus explorou vulnerabilidades na Ponte Horizon da Harmony em junho de 2022. Através de engenharia social e comprometimento de carteiras multiassinatura, eles fugiram com $100 milhões, destacando os riscos associados às pontes entre cadeias (facilitando transferências de ativos entre redes como Ethereum, Bitcoin e BNB Smart Chain).

Os atacantes exploraram vulnerabilidades de segurança, ganhando controle sobre uma carteira multisignature usada para autorizar transações. Essa violação permitiu que eles desviassem aproximadamente $100 milhões em várias criptomoedas. Os ativos roubados foram lavados através do misturador Tornado Cash, complicando os esforços de rastreamento. A Elliptic foi uma das primeiras a atribuir esse ataque ao Grupo Lazarus, uma avaliação mais tarde confirmada pelo FBI em janeiro de 2023.

7. Ponte Ronin (Março de 2022)

Em março de 2022, a Ponte Ronin, aponte intercadeiasa apoiar o jogo Axie Infinity,sofreu uma violação significativa de segurançanas mãos do Grupo Lazarus, resultando no roubo de aproximadamente $625 milhões em criptomoedas.

A rede Ronin operava com nove validadores, exigindo pelo menos cinco assinaturas para autorizar transações. Os atacantes conseguiram obter controle sobre cinco chaves privadas, permitindo-lhes aprovar levantamentos não autorizados.

Os hackers atraíram um funcionário da Sky Mavis com uma oferta de emprego fraudulenta, entregando um PDF infectado por malware que comprometeu os sistemas internos da empresa. Este acesso permitiu que os atacantes se movessem lateralmente dentro da rede, assumindo o controle de quatro validadores operados pela Sky Mavis e um validador adicional gerido pela AxieDAO (organização autónoma descentralizada).

O grupo combinou engenharia social com habilidade técnica para executar o hack da Ponte Ronin.

8. Carteira Atômica (2022)

Ao longo de 2022, os utilizadores da Atomic Wallet, uma aplicação de armazenamento descentralizada de criptomoedas, foram vítimas de uma série de ataques orquestrados pelo Grupo Lazarus.

Os hackers implantaram malware personalizado para comprometer carteiras individuais, resultando em perdas estimadas entre $35 milhões e $100 milhões. A Elliptic relacionou essas violações ao Grupo Lazarus, rastreando o movimento de fundos roubados e identificando padrões de lavagem consistentes com as atividades anteriores do grupo.

9. Bolsa de Valores Bithumb (julho de 2017)

Em julho de 2017, o Grupo Lazarus executou um ataque de spear-phishing na Bithumb, uma das maiores bolsas de criptomoedas da Coreia do Sul.

Ao infiltrar os sistemas internos da bolsa, conseguiram roubar aproximadamente 7 milhões de dólares em criptomoedas. Este incidente marcou uma das primeiras e notáveis intrusões do grupo na crescente indústria de ativos digitais.

10. Troca Youbit (abril e dezembro de 2017)

O grupo Lazarus realizou dois ataques significativos à bolsa sul-coreana Youbit em 2017. O primeiro ataque em abril envolveu o uso de malware e técnicas de phishing, comprometendo a segurança da bolsa e levando a perdas substanciais de ativos.

Um ataque subsequente em dezembro resultou na perda de 17% dos ativos totais da Youbit. A pressão financeira decorrente dessas violações consecutivas levou a exchange à falência, destacando o impacto severo das atividades cibernéticas do grupo nas plataformas de ativos digitais.

Sabia? A Coreia do Norte emprega milhares de trabalhadores de TI globalmente, incluindo na Rússia e na China, para gerar receitas. Eles usam perfis gerados por IA e identidades roubadas para garantir posições tecnológicas lucrativas, permitindo-lhes roubar propriedade intelectual, extorquir empregadores e remeter fundos para o regime.

Outros grandes assaltos

1. WannaCry (Maio 2017)

O WannaCryataque de ransomwarefoi um incidente massivo de cibersegurança que afetou organizações em todo o mundo. Em 12 de maio de 2017, o worm de ransomware WannaCry infectou mais de 200.000 computadores em mais de 150 países. As principais vítimas incluíram FedEx, Honda, Nissan e o Serviço Nacional de Saúde do Reino Unido (NHS), que teve de desviar ambulâncias devido a interrupções no sistema.

Um investigador de segurança descobriu um “interruptor de segurança” que parou temporariamente o ataque. Mas muitos sistemas permaneceram bloqueados até que as vítimas pagassem o resgate ou encontrassem uma forma de restaurar os seus dados. O WannaCry explorou uma vulnerabilidade chamada “EternalBlue”, um exploit desenvolvido originalmente pela Agência de Segurança Nacional dos Estados Unidos (NSA).

Este exploit foi mais tarde roubado e divulgado pelos Shadow Brokers. O WannaCry visava principalmente sistemas mais antigos e não corrigidos da Microsoft Windows, permitindo-lhe espalhar-se rapidamente e causar danos generalizados. O ataque destacou a necessidade crítica de atualizações regulares de software e consciencialização sobre cibersegurança.

2. Banco do Bangladesh (fevereiro de 2016)

Em fevereiro de 2016, o Banco do Bangladesh sofreu um significativo ciberataque, com os atacantes tentando roubar quase $1 bilhão da sua conta no Banco da Reserva Federal de Nova Iorque. Os perpetradores, mais tarde identificados como o Grupo Lazarus, infiltraram-se nos sistemas do banco em janeiro de 2015 através de um anexo de email malicioso. Eles estudaram as operações do banco, acabando por iniciar 35 pedidos de transferência fraudulentos via a rede SWIFT.

Embora a maioria tenha sido bloqueada, cinco transações totalizando $101 milhões foram bem-sucedidas, com $81 milhões alcançando contas nas Filipinas. Um erro tipográfico em um pedido de transferência levantou suspeitas, impedindo o roubo completo.

3. Sony Pictures (novembro de 2014)

Em novembro de 2014, a Sony Pictures Entertainment foi alvo de um importante ciberataque executado pelos Guardiões da Paz, com ligações ao Grupo Lazarus. Os atacantes infiltraram-se na rede da Sony, acedendo a vastas quantidades de dados confidenciais, incluindo filmes não lançados, informações sensíveis de funcionários e comunicações internas.

O grupo também implantou malware, tornando aproximadamente 70% dos computadores da Sony inoperáveis. Os danos financeiros do ataque foram substanciais, com a Sony relatando perdas de $15 milhões, embora outras estimativas sugiram que os custos de recuperação poderiam ter excedido $85 milhões.

A motivação por trás do ataque foi retaliação pelo planeado lançamento de The Interview da Sony, uma comédia que retrata o assassinato do líder norte-coreano Kim Jong-un.

Apesar da negação da Coreia do Norte de envolvimento, o governo dos EUA atribuiu formalmente o ataque a atores de ameaças norte-coreanos, destacando a capacidade do Grupo Lazarus de executar operações cibernéticas sofisticadas com significativas implicações geopolíticas.

Sabia? Em agosto de 2024, ZachXBT revelou que 21 desenvolvedores norte-coreanos tinham infiltrado startups de criptomoedas, ganhando $500,000 por mês.

O FBI identificou os principais hackers do Grupo Lazarus por trás de importantes ciberataques

O FBI identificou publicamente três hackers norte-coreanos suspeitos como membros do Grupo Lazarus.

Em setembro de 2018, o FBI acusou Park Jin Hyok, um nacional norte-coreano ligado ao Lazarus, pelo seu suposto papel em importantes ciberataques. Park, que supostamente trabalhava para a Chosun Expo Joint Venture, uma empresa de fachada norte-coreana, foi ligado ao ataque à Sony Pictures em 2014 e ao assalto ao Banco de Bangladesh em 2016, onde foram roubados 81 milhões de dólares.

O FBI também acusou Park da sua associação com o ataque de ransomware WannaCry 2.0 de 2017, que perturbou hospitais, incluindo o NHS do Reino Unido. Os investigadores rastrearam ele e seus associados através de código de malware compartilhado, armazenamento de credenciais roubadas e serviços de proxy que ocultavam IPs norte-coreanos e chineses.

Em fevereiro de 2021, o Departamento de Justiça dos EUA acusou Jon Chang Hyok e Kim Il por seu envolvimento em cibercrimes globais. Jon desenvolveu e espalhou aplicações de criptomoeda maliciosas para se infiltrar em instituições financeiras, enquanto Kim coordenava a distribuição de malware, roubos de criptomoedas e a oferta fraudulenta inicial de moedas da Marine Chain.

Táticas comuns usadas pelo Grupo Lazarus

O Grupo Lazarus emprega várias táticas sofisticadas para realizar ciberataques, incluindo perturbação, desvio, técnicas anti-forenses e de proteção:

Disrupção

Lazarus conduz ataques disruptivos usandonegação de serviço distribuída (DDoS)e malware de limpeza com gatilhos baseados no tempo. Por exemplo, o trojan KILLMBR apaga dados no sistema alvo numa data predefinida, enquanto o QDDOS, um malware, apaga ficheiros após a infeção. Outra ferramenta, DESTOVER, funciona como uma porta dos fundos, mas também tem capacidades de limpeza. Estas táticas visam paralisar os sistemas e torná-los inoperáveis.

Desorientação

Para ocultar o seu envolvimento, Lazarus disfarça alguns ataques como sendo obra de grupos fictícios como “GOP,” “WhoAmI” e “New Romanic Army.” Estes grupos reivindicam responsabilidade pelo ataque, enquanto Lazarus é o jogador por trás do jogo. Eles podem desfigurar websites com alguma propaganda. Lazarus também incorpora falsas bandeiras em seu malware, como usar palavras russas romanizadas na backdoor KLIPOD.

Backdoors

Lazarus depende de backdoors para acesso persistente aos sistemas comprometidos, implantando ferramentas como o backdoor Manuscrypt (NukeSped) em campanhas de phishing e os implantes BLINDINGCAN e COPPERHEDGE contra alvos de defesa.

Técnicas anti-forenses

Para cobrir seus rastos, Lazarus usa várias técnicas de anti-forense:

• Separação de componentes: Em operações relacionadas ao subgrupo Bluenoroff de Lazarus, ele fragmenta os componentes de malware para dificultar a análise.
• Ferramentas de linha de comandos: Muitos ataques dependem de backdoors e instaladores de linha de comandos que requerem argumentos específicos. Por exemplo, o instalador do framework Nestegg requer uma palavra-passe como argumento.
• Wipers: Lazarus usa wipers para apagar evidências do ataque depois que a operação estiver completa. Amostras DESTOVER foram vistas em algumas das operações Bluenoroff.
• Exclusão de registro e log: Lazarus exclui dados de prefetch, logs de eventos e registros da Tabela de Arquivos Mestre (MFT) para remover evidências forenses.

Ao combinar essas técnicas, a Lazarus efetivamente perturba os alvos, engana os esforços de atribuição e oculta suas atividades.

Como defender-se dos ataques do grupo Lazarus

Defender-se contra as ameaças colocadas pelo Grupo Lazarus requer uma estratégia de segurança abrangente. As organizações devem implementar múltiplas camadas de proteção para salvaguardar os seus ativos digitais de ciberataques sofisticados.

Medidas de defesa chave que precisa adotar incluem:

• Proteção contra DDoS: As organizações devem implementar estratégias robustas de mitigação para evitar interrupções de serviço e potenciais violações de dados. Identificar e neutralizar proativamente tais ataques é crucial.
• Inteligência de ameaças: Aproveitar a inteligência de ameaças ajuda a detetar e responder a ameaças cibernéticas, incluindo ransomware e ataques DDoS. É necessário manter-se informado sobre as táticas em evolução usadas pelo Lazarus para conduzir as suas operações.
• Proteção de ativos: As instituições financeiras, as bolsas de criptomoedas e outros alvos de grande valor devem proteger ativos digitais críticos contra os ataques de Lazarus. Proteger os pontos finais do sistema SWIFT, ATMs e infraestrutura bancária é crucial.
• Monitorização contínua de ameaças persistentes: A monitorização contínua da infraestrutura de rede é necessária para detetar e mitigar possíveis intrusões. As equipas de segurança devem garantir que todos os sistemas são regularmente atualizados com as últimas correções para reduzir vulnerabilidades.
• Soluções de segurança multinível: Soluções avançadas de segurança, como as que incorporam análise comportamental, aprendizado de máquina e proteção contra exploits, aprimoram a defesa contra ataques direcionados. Ferramentas com integração de sandbox e proteção contra ransomware adicionam camadas adicionais de segurança.
• Proteção em tempo real: Ao lidar com ataques complexos, você precisa de proteção em tempo real contra ataques direcionados. Você deve ser capaz de detectar ataques direcionados em qualquer lugar da rede usando técnicas cross-generational para aplicar a tecnologia certa no momento certo.

No entanto, como a tecnologia é um campo em rápido desenvolvimento e os hackers continuam a desenvolver novos vetores de ameaça, indivíduos e organizações devem permanecer proativos e monitorar consistentemente as ameaças emergentes.

Como o professor Bill Buchanan, um dos principais especialistas em criptografia aplicada,enfatiza, "Precisamos de investir fortemente em cibersegurança; caso contrário, estamos a caminhar para um mundo protegido por George Orwell em 1984, ou um mundo onde nos tornamos escravos da máquina."

Esta declaração destaca as profundas implicações de negligenciar a cibersegurança e a necessidade de investimento contínuo em medidas de proteção.

Lembre-se, a batalha contra esses atores de ameaças sofisticados não é uma questão de uma defesa única, mas sim de uma estratégia contínua que envolve prevenção, detecção e resposta rápida.

No final, a defesa contra o Grupo Lazarus requer vigilância, ferramentas de segurança avançadas e um compromisso organizacional com a melhoria contínua. Apenas através destes esforços coletivos é que as empresas e instituições podem proteger os seus ativos, manter a confiança e permanecer um passo à frente dos cibercriminosos.

Aviso Legal：

1. Este artigo é reproduzido a partir de [CoinTelegraph]. Todos os direitos autorais pertencem ao autor original [Dilip Kumar Patairya]. Se houver objeções a esta reimpressão, entre em contato com o Gate Aprenderequipa e eles vão tratar disso prontamente.
2. Aviso de Responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.