Golpes & Hacks

Principais pontos

• O Grupo Lazarus é uma equipe de hackers apoiada pelo estado norte-coreano responsável por roubos cibernéticos de bilhões de dólares. Suas operações financiam os programas de mísseis e nucleares do país.
• Lazarus emprega malware personalizado, vulnerabilidades zero-day e campanhas de spear-phishing para violar instituições financeiras, bolsas de criptomoedas e agências governamentais.
• Ataques notáveis incluem o hack de 1,5 bilhão de dólares da Bybit (2025), a violação de 625 milhões de dólares da Ponte Ronin (2022) e o assalto de 101 milhões de dólares ao Banco de Bangladesh (2016).
• O grupo usa desvio, portas dos fundos, técnicas antiforenses e limpadores para ocultar seus rastros e manter acesso de longo prazo às redes comprometidas.

O ataque criptográfico da Bybit em 21 de fevereiro de 2025, mais uma vez colocou em evidência o notório Grupo Lazarus, "creditado" com uma série de ataques devastadores a empresas de criptografia. Desde 2017, o Grupo Lazarus roubou cerca de $6 bilhões da indústria de criptografia,de acordopara a empresa de análise de blockchain Elliptic. Não é de admirar que o Lázaro tenha ganhado o título de super vilão no cripto.

Como um dos grupos de cibercriminosos mais prolíficos da história, o Grupo Lazarus usatáticas avançadas de hackinge muitas vezes operadores de colarinho branco da linha de frente, indicando apoio total do estado.

Isso levanta questões críticas sobre o Grupo Lazarus, a execução do complexo ataque Bybit e outros hacks similares, e como as organizações cripto podem combater essa ameaça crescente. Este artigo explora essas questões e muito mais.

Origens e antecedentes do Grupo Lazarus

O Grupo Lazarus é um ator de ameaças baseado na República Popular Democrática da Coreia (RPDC) ou na Coreia do Norte, conhecido por espionagem cibernética e desvio de dinheiro.

Ativo desde 2009, está associado ao Escritório Geral de Reconhecimento (RGB) do governo norte-coreano, a principal agência de inteligência da nação. O grupo de ameaças persistentes avançadas (APT) é conhecido por realizar sofisticados ataques multiplataforma em instituições financeiras,corretoras de criptomoedas, pontos finais do sistema SWIFT, cassinos e caixas eletrônicos em todo o mundo.

A ligação do grupo com a agência de inteligência da nação sugere patrocínio estatal. Os hackers recebem o patrocínio do estado para suas atividades nefastas, o que significa que podem operar sem medo da aplicação da lei local. Suas atividades visam não apenas reunir informações, mas também angariar fundos para os programas de mísseis e nucleares do país.

O Federal Bureau of Investigation (FBI) dos EUA chama o Grupo Lazarus de uma "organização de hackers patrocinada pelo estado norte-coreano." O desertor norte-coreano Kim Kuk-song revelou que a unidade é internamente conhecida como o Escritório de Ligação 414 na Coreia do Norte.

Ao longo dos anos, o Grupo Lazarus aumentou significativamente a sofisticação e eficácia de suas táticas, bem como a escala de suas atividades.

Você sabia? A Microsoft Threat Intelligence identificou uma equipe de hackers conhecida como "Sapphire Sleet" como um grupo de ameaças norte-coreano altamente envolvido em roubo de criptomoedas e infiltração corporativa. O termo "sleet" indica os laços norte-coreanos do grupo.

Como o Grupo Lazarus opera?

Devido ao patrocínio do estado, o Grupo Lazarus tem os recursos e a expertise paraexecutar ciberataques complexos. Ele executa operações em várias camadas, que incluem o desenvolvimento e implementação de malware personalizado e a exploração de vulnerabilidades zero-day. O termo "vulnerabilidade zero-day" refere-se a uma brecha de segurança em software ou hardware não conhecida pelo desenvolvedor. Isso significa que não há correção para ela nem preparação.

Uma característica do Grupo Lazarus é a criação de malware personalizado, como MagicRAT e QuiteRAT, projetado para infiltrar e controlar sistemas específicos. Eles também são conhecidos por aproveitar falhas de segurança previamente desconhecidas para violar sistemas antes que correções estejam disponíveis.

A engenharia social é outro componente crítico de sua estratégia. Trata-se de hackers usando emoções para enganar os usuários e persuadi-los a realizar uma ação específica, como compartilhar dados cruciais. O Grupo Lazarus conduz spear-campanhas de phishing, que enviam e-mails fraudulentos para pessoas desprevenidas se passando por sua rede para induzi-las a revelar informações confidenciais.

Seuadaptabilidade e técnicas em evoluçãotornar o Grupo Lazarus uma ameaça persistente e formidável no cenário global de cibersegurança.

Principais roubos pelo Grupo Lazarus

Ao longo dos anos, houve uma série de ciberataques envolvendo o Grupo Lazarus. Aqui estão alguns roubos significativos executados pelo grupo:

Roubos de criptomoedas

1. Bybit (fevereiro de 2025)

Bybit, uma exchange de criptomoedas sediada em Dubai,sofreu uma grande violação de segurança, perdendo $1.5 bilhão em ativos digitais em fevereiro de 2025, tornando-se o roubo de criptomoedas mais significativo até o momento.

O ataque visou a interface SafeWallet usada pelos executivos da Bybit para executar as transações fraudulentas. Os fundos roubados, principalmente em Ether, foram rapidamente dispersos em várias carteiras eliquidado por meio de diferentes plataformas. O CEO da Bybit, Ben Zhou, tranquilizou os usuários de que outras carteiras frias permaneceram seguras e que os saques funcionaram normalmente.

Empresas de análise de blockchain, incluindo Elliptic e Arkham Intelligence, rastrearam os ativos roubados e posteriormente atribuíram o ataque ao Lazarus Group apoiado pelo estado norte-coreano. A violação desencadeou uma onda de saques da Bybit, levando a exchange a garantir um empréstimo-ponte para cobrir as perdas.

2. WazirX (July 2024)

Em julho de 2024, a WazirX, a maior exchange de criptomoedas da Índia, sofreu uma violação significativa de segurança resultando na perda de aproximadamente $234.9 milhões em ativos digitais. O ataque, atribuído ao Grupo Lazarus da Coreia do Norte, envolveu técnicas sofisticadas de phishing e exploração de API.

Os hackers manipularam o sistema de carteira multisignature da WazirX, ganhando acesso não autorizado tanto às carteiras quentes quanto às frias. Essa violação levou à suspensão das atividades de negociação e provocou desafios legais, incluindo um processo da exchange concorrente CoinSwitch buscando recuperar $9,65 milhões em fundos retidos.

Em janeiro de 2025, o Tribunal Superior de Singapura aprovou o plano de reestruturação da WazirX, permitindo que a empresa se encontrasse com credores para discutir estratégias de recuperação de ativos.

3. Stake.com (setembro de 2023)

Em setembro de 2023, o grupo violou Stake.com, uma plataforma de apostas de criptomoedas, obtendo e utilizandochaves privadas. Isso lhes permitiu desviar US$41 milhões em várias redes blockchain.

O FBI dos EUAatribuídoesse roubo ao Grupo Lazarus, também conhecido como APT38. Os ativos roubados foram rastreados em várias redes blockchain, incluindo Ethereum, BNB Smart Chain e Polygon.

4. CoinEx (setembro de 2023)

Mais tarde, em setembro de 2023, a CoinEx, uma bolsa de criptomoedas global, relatou transações não autorizadas resultando em perdas estimadas em $54 milhões.

Investigações feitas por analistas de blockchain, incluindo o analista onchain ZachXBT,padrões de carteira revelados e comportamentos on-chainvinculando essa violação ao hack anterior do Stake.com, sugerindo um esforço coordenado pelo Grupo Lazarus.

5. CoinsPaid e Alphapo (julho de 2023)

Em 22 de julho de 2023, a CoinsPaid sofreu um ciberataque meticulosamente planejado que resultou no roubo de $37,3 milhões. Os atacantes empregaram uma estratégia envolvendo suborno e campanhas de contratação falsas visando pessoal crítico da empresa nos meses que antecederam a violação.

Durante o ataque, foi observado um aumento incomum na atividade de rede, com mais de 150.000 endereços IP diferentes envolvidos. Apesar da substancial perda financeira, a equipe interna da CoinsPaid trabalhou diligentemente para fortalecer seus sistemas, garantindo que os fundos dos clientes permanecessem inalterados e totalmente disponíveis.

No mesmo dia, Alphapo, um provedor centralizado de pagamentos de criptomoedas para várias plataformas online, sofreu uma violação de segurança em 23 de julho de 2023. Relatórios iniciais estimaram a perda em aproximadamente $23 milhões; no entanto, investigações posteriores revelaram que o valor total roubado excedeu $60 milhões. Analistas de blockchain atribuíram esse ataque ao Grupo Lazarus, observando que os fundos roubados foram rastreados através de vários endereços e cadeias.

6. Harmony Horizon Bridge (junho de 2022)

O grupo Lazarus explorou vulnerabilidades na Ponte do Horizonte da Harmony em junho de 2022. Através de engenharia social e comprometimento de carteiras multiassinatura, eles fugiram com $100 milhões, destacando os riscos associados às pontes entre cadeias (facilitando transferências de ativos entre redes como Ethereum, Bitcoin e BNB Smart Chain).

Os atacantes exploraram falhas de segurança, ganhando controle sobre uma carteira multiassinatura usada para autorizar transações. Essa violação permitiu que eles drenassem aproximadamente $100 milhões em várias criptomoedas. Os ativos roubados foram lavados através do misturador Tornado Cash, complicando os esforços de rastreamento. A Elliptic foi uma das primeiras a atribuir esse ataque ao Grupo Lazarus, uma avaliação posteriormente confirmada pelo FBI em janeiro de 2023.

7. Ponte Ronin (Março de 2022)

Em março de 2022, a Ponte Ronin, aponte intercadeiasuportando o jogo Axie Infinity,sofreu uma violação significativa de segurançanas mãos do Grupo Lazarus, resultando no roubo de aproximadamente $625 milhões em criptomoedas.

A rede Ronin operava com nove validadores, exigindo pelo menos cinco assinaturas para autorizar transações. Os atacantes conseguiram obter controle sobre cinco chaves privadas, permitindo-lhes aprovar saques não autorizados.

Os hackers atraíram um funcionário da Sky Mavis com uma oferta de emprego fraudulenta, entregando um PDF infectado por malware que comprometeu os sistemas internos da empresa. Esse acesso permitiu que os atacantes se movessem lateralmente dentro da rede, assumindo o controle de quatro validadores operados pela Sky Mavis e de um validador adicional gerenciado pela AxieDAO (organização autônoma descentralizada).

O grupo combinou engenharia social com habilidade técnica para executar o hack da Ponte Ronin.

8. Atomic Wallet (2022)

Ao longo de 2022, os usuários do Atomic Wallet, um aplicativo de armazenamento descentralizado de criptomoedas, foram vítimas de uma série de ataques orquestrados pelo Grupo Lazarus.

Os hackers implantaram malware personalizado para comprometer carteiras individuais, resultando em perdas estimadas entre $35 milhões e $100 milhões. A Elliptic vinculou essas violações ao Grupo Lazarus rastreando o movimento dos fundos roubados e identificando padrões de lavagem condizentes com as atividades anteriores do grupo.

9. Troca Bithumb (julho de 2017)

Em julho de 2017, o Grupo Lazarus executou um ataque de spear-phishing na Bithumb, uma das maiores bolsas de criptomoedas da Coreia do Sul.

Ao infiltrar nos sistemas internos da bolsa, eles conseguiram roubar aproximadamente $7 milhões em criptomoedas. Este incidente marcou uma das primeiras e notáveis intrusões do grupo na florescente indústria de ativos digitais.

10. Troca Youbit (abril e dezembro de 2017)

O grupo Lazarus realizou dois ataques significativos na bolsa sul-coreana Youbit em 2017. O primeiro ataque em abril envolveu o uso de malware e técnicas de phishing, comprometendo a segurança da bolsa e levando a perdas substanciais de ativos.

Um ataque subsequente em dezembro resultou na perda de 17% dos ativos totais da Youbit. A pressão financeira decorrente dessas violações consecutivas forçou a exchange à falência, destacando o impacto severo das atividades cibernéticas do grupo nas plataformas de ativos digitais.

Você sabia? A Coreia do Norte implanta milhares de trabalhadores de TI globalmente, incluindo na Rússia e na China, para gerar receita. Eles usam perfis gerados por IA e identidades roubadas para garantir posições de tecnologia lucrativas, permitindo-lhes roubar propriedade intelectual, extorquir empregadores e remeter fundos para o regime.

Outros grandes roubos

1. WannaCry (Maio de 2017)

O WannaCryataque de ransomwarefoi um grande incidente de cibersegurança que afetou organizações em todo o mundo. Em 12 de maio de 2017, o worm ransomware WannaCry infectou mais de 200.000 computadores em mais de 150 países. As principais vítimas incluíram FedEx, Honda, Nissan e o Serviço Nacional de Saúde do Reino Unido (NHS), que teve que desviar ambulâncias devido a interrupções no sistema.

Um pesquisador de segurança descobriu um "interruptor de desligamento" que parou temporariamente o ataque. Mas muitos sistemas permaneceram bloqueados até que as vítimas pagassem o resgate ou encontrassem uma maneira de restaurar seus dados. O WannaCry explorou uma vulnerabilidade chamada "EternalBlue", um exploit originalmente desenvolvido pela Agência de Segurança Nacional dos EUA (NSA).

Este exploit foi posteriormente roubado e vazado pelos Shadow Brokers. O WannaCry tinha como alvo principalmente sistemas mais antigos e não corrigidos da Microsoft Windows, permitindo que se espalhasse rapidamente e causasse danos generalizados. O ataque destacou a necessidade crítica de atualizações regulares de software e conscientização sobre cibersegurança.

2. Banco do Bangladesh (fevereiro de 2016)

Em fevereiro de 2016, o Banco de Bangladesh sofreu um grande ciberataque, com os atacantes tentando roubar quase $1 bilhão de sua conta no Federal Reserve Bank de Nova York. Os perpetradores, posteriormente identificados como o Grupo Lazarus, infiltraram-se nos sistemas do banco em janeiro de 2015 através de um anexo de e-mail malicioso. Eles estudaram as operações do banco, eventualmente iniciando 35 solicitações de transferência fraudulentas via rede SWIFT.

Embora a maioria tenha sido bloqueada, cinco transações totalizando $101 milhões foram bem-sucedidas, com $81 milhões alcançando contas nas Filipinas. Um erro de digitação em uma solicitação de transferência levantou suspeitas, impedindo o roubo completo.

3. Sony Pictures (novembro de 2014)

Em novembro de 2014, a Sony Pictures Entertainment foi alvo de um significativo ciberataque executado pelos Guardiões da Paz, tendo conexões com o Grupo Lazarus. Os atacantes infiltraram-se na rede da Sony, tendo acesso a vastas quantidades de dados confidenciais, incluindo filmes não lançados, informações sensíveis dos funcionários e comunicações internas.

O grupo também implantou malware, tornando aproximadamente 70% dos computadores da Sony inoperáveis. Os danos financeiros resultantes da violação foram substanciais, com a Sony relatando perdas de $15 milhões, embora outras estimativas sugiram que os custos de recuperação poderiam ter excedido $85 milhões.

A motivação por trás do ataque foi retaliação pelo lançamento planejado pela Sony de The Interview, uma comédia que retrata o assassinato do líder norte-coreano Kim Jong-un.

Apesar da negação da Coreia do Norte de envolvimento, o governo dos EUA atribuiu formalmente o ataque a atores de ameaças da Coreia do Norte, destacando a capacidade do Grupo Lazarus de executar operações cibernéticas sofisticadas com significativas implicações geopolíticas.

Você sabia? Em agosto de 2024, ZachXBT revelou que 21 desenvolvedores norte-coreanos haviam infiltrado startups de criptomoedas, ganhando $500,000 mensalmente.

FBI identificou os principais hackers do Grupo Lazarus por trás de importantes ciberataques

O FBI identificou publicamente três hackers norte-coreanos suspeitos como membros do Grupo Lazarus.

Em setembro de 2018, o FBI acusou Park Jin Hyok, um cidadão norte-coreano ligado ao Lazarus, por seu suposto papel em grandes ciberataques. Park, que supostamente trabalhou para a Chosun Expo Joint Venture, uma empresa de fachada norte-coreana, foi associado ao hack da Sony Pictures em 2014 e ao assalto ao Banco de Bangladesh em 2016, onde foram roubados $81 milhões.

O FBI também acusou Park de sua associação com o ataque de ransomware WannaCry 2.0 de 2017, que perturbou hospitais, incluindo o NHS do Reino Unido. Investigadores o rastrearam e seus associados por meio de código de malware compartilhado, armazenamento de credenciais roubadas e serviços de proxy que ocultavam IPs norte-coreanos e chineses.

Em fevereiro de 2021, o Departamento de Justiça dos EUA acusou Jon Chang Hyok e Kim Il por seu envolvimento em crimes cibernéticos globais. Jon desenvolveu e espalhou aplicações de criptomoedas maliciosas para se infiltrar em instituições financeiras, enquanto Kim coordenava a distribuição de malware, roubos de criptomoedas e a oferta inicial de moedas fraudulenta da Marine Chain.

Táticas comuns usadas pelo Grupo Lazarus

O Grupo Lazarus emprega várias táticas sofisticadas para realizar ataques cibernéticos, incluindo interrupções, desvios de direção, técnicas antiforenses e de proteção:

Disrupção

Lazarus conduz ataques disruptivos usandonegação distribuída de serviço (DDoS)e malware de limpeza com gatilhos baseados no tempo. Por exemplo, o cavalo de Troia KILLMBR apaga dados no sistema alvo em uma data predefinida, enquanto o QDDOS, um malware, apaga arquivos após a infecção. Outra ferramenta, DESTOVER, funciona como uma porta dos fundos, mas também tem capacidades de limpeza. Essas táticas têm como objetivo incapacitar sistemas e torná-los inoperáveis.

Desvio

Para obscurecer seu envolvimento, Lázaro disfarça alguns ataques como o trabalho de grupos fictícios como "GOP," "WhoAmI" e "New Romanic Army." Esses grupos reivindicam a responsabilidade pelo ataque, enquanto Lázaro é o jogador por trás do jogo. Eles podem desfigurar sites com alguma propaganda. Lázaro também incorpora falsas bandeiras em seu malware, como usar palavras russas romanizadas na backdoor KLIPOD.

Portas dos fundos

Lazarus depende de backdoors para acesso persistente a sistemas comprometidos, implantando ferramentas como o backdoor Manuscrypt (NukeSped) em campanhas de phishing e os implantes BLINDINGCAN e COPPERHEDGE contra alvos de defesa.

Técnicas anti-forenses

Para cobrir seus rastros, Lazarus usa várias técnicas anti-forenses:

• Separação de componentes: Em operações relacionadas ao subgrupo Bluenoroff de Lazarus, ele fragmenta componentes de malware para dificultar a análise.
• Ferramentas de linha de comando: Muitos ataques dependem de backdoors de linha de comando e instaladores que exigem argumentos específicos. Por exemplo, o instalador do framework Nestegg requer uma senha como argumento.
• Lazarus usa limpadores para apagar evidências do ataque após a conclusão da operação. Amostras de DESTOVER foram vistas em algumas das operações do Bluenoroff.
• Exclusão de registro e log: Lazarus exclui dados de prefetch, logs de eventos e registros da Tabela de Arquivos Mestre (MFT) para remover evidências forenses.

Ao combinar essas técnicas, Lazarus efetivamente interrompe os alvos, confunde os esforços de atribuição e oculta suas atividades.

Como se defender dos ataques do Grupo Gate

Defender-se contra as ameaças apresentadas pelo Grupo Lazarus requer uma estratégia abrangente de segurança. As organizações devem implementar várias camadas de proteção para salvaguardar seus ativos digitais de sofisticados ciberataques.

Medidas de defesa chave que você precisa adotar incluem:

• Proteção contra DDoS: As organizações devem implementar estratégias robustas de mitigação para evitar interrupções de serviço e possíveis violações de dados. Identificar e neutralizar proativamente tais ataques é crucial.
• Inteligência de ameaças: Aproveitar a inteligência de ameaças ajuda a detectar e responder a ameaças cibernéticas, incluindo ransomware e ataques DDoS. Você precisa se manter informado sobre as táticas em evolução usadas pela Lazarus para executar suas operações.
• Proteção de ativos: Instituições financeiras, bolsas de criptomoedas e outros alvos de alto valor devem proteger ativos digitais críticos contra os ataques de Lazarus. Proteger os pontos finais do sistema SWIFT, ATMs e infraestrutura bancária é crucial.
• Monitoramento de ameaças persistente: O monitoramento contínuo da infraestrutura de rede é necessário para detectar e mitigar possíveis intrusões. As equipes de segurança devem garantir que todos os sistemas sejam regularmente atualizados com as últimas correções para reduzir vulnerabilidades.
• Soluções de segurança em várias camadas: Soluções avançadas de segurança, como aquelas que incorporam análise comportamental, aprendizado de máquina e proteção contra exploração, aprimoram a defesa contra ataques direcionados. Ferramentas com integração de sandbox e proteção contra ransomware adicionam camadas adicionais de segurança.
• Proteção em tempo real: Ao lidar com ataques complexos, você precisa de proteção em tempo real contra ataques direcionados. Você deve ser capaz de detectar ataques direcionados em qualquer lugar da rede usando técnicas de geração cruzada para aplicar a tecnologia certa no momento certo.

No entanto, como a tecnologia é um campo em rápido desenvolvimento e os hackers continuam a desenvolver novos vetores de ameaças, indivíduos e organizações devem permanecer proativos e monitorar constantemente as ameaças emergentes.

Como professor Bill Buchanan, um dos principais especialistas em criptografia aplicada,enfatiza, “Precisamos investir pesadamente em cibersegurança; caso contrário, estamos indo em direção a um mundo protegido por George Orwell em 1984, ou um mundo onde nos tornamos escravos da máquina.”

Esta declaração destaca as profundas implicações de negligenciar a cibersegurança e a necessidade de investimento contínuo em medidas de proteção.

Lembre-se, a batalha contra atores de ameaças tão sofisticados não é uma defesa única, mas sim uma estratégia contínua que envolve prevenção, detecção e resposta rápida.

Em última análise, defender-se do Grupo Lazarus exige vigilância, ferramentas de segurança avançadas e um compromisso organizacional com a melhoria contínua. Apenas por meio desses esforços coletivos as empresas e instituições podem proteger seus ativos, manter a confiança e ficar um passo à frente dos cibercriminosos.

Aviso legal：

1. Este artigo é reproduzido a partir de [CoinTelegraph]. Todos os direitos autorais pertencem ao autor original [Dilip Kumar Patairya]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipe e eles vão lidar com isso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.