El hackeo de Bybit se rastrea hasta un ataque de cadena de suministro de Safe Wallet
La Oficina Federal de Investigaciones de los Estados Unidos, FBI, ha atribuido formalmente el hackeo masivo de 1.5 mil millones de dólares a la plataforma de criptomonedas Bybit a actores de amenazas norcoreanos, mientras el CEO de esta compañía ha declarado la guerra contra Lazarus.
La agencia señaló que la República Popular Democrática de Corea, o Corea del Norte, ha sido responsable del robo de activos virtuales del exchange, vinculándolo con un grupo específico que rastrea como TraderTraitor, también conocido como Jade Sleet, Slow Pisces y UNC4899.
Los actores de TraderTraitor están actuando rápidamente y han convertido parte de los fondos robados en Bitcoin y otros activos virtuales dispersos en miles de direcciones en múltiples blockchains, según declaraciones del FBI. Además, se espera que estos activos sean lavados y eventualmente convertidos en moneda fiduciaria o fiat.
Cabe destacar que el grupo TraderTraitor ya había sido implicado por autoridades japonesas y estadounidenses en el robo de 308 millones de dólares en criptomonedas de la empresa DMM Bitcoin en el mes de mayo de 2024.
Este grupo de cibercriminales es conocido por atacar empresas del sector Web3, engañando a las víctimas para que descarguen aplicaciones de criptomonedas infectadas con malware. También ha llevado a cabo campañas de ingeniería social con ofertas de trabajo falsas que terminan en la instalación de paquetes npm maliciosos.
Mientras tanto, la empresa Bybit lanzó un programa de recompensas para recuperar los fondos robados y acusó al exchange eXch de negarse a cooperar en la investigación y congelar los activos. Debido a que los fondos robados han sido transferidos a destinos no rastreables o no congelables, como exchanges, mezcladores o puentes, o convertidos en stablecoins que pueden ser bloqueadas, declararon portavoces de Bybit.
La ciberseguridad debe tomarse en serio, si no quieres que las operaciones de tu empresa sean paralizadas, con consecuencias devastadoras tanto económicas como de reputación. Por ello, TIC Defense tiene a tu disposición un conjunto de herramientas y servicios de alta tecnología, con el objeto de proteger la infraestructura informática de tu oeganización.
Igualmente, exigieron la cooperación de todas las partes involucradas para congelar los fondos o proporcionar actualizaciones sobre su movimiento para continuar las operaciones de rastreo. La empresa, con sede en Dubái, también compartió las conclusiones de 2 investigaciones realizadas por diversas firmas de ciberseguridad, vinculando el ataque al grupo Lazarus.
Asimismo, el análisis forense de diversas firmas de seguridad informática sugiere que la causa raíz del ataque es un código malicioso originado en la infraestructura de Safe Wallet, explicaron los expertos. También, se sospecha que la cuenta AWS S3 o la API Key de CloudFront han sido filtradas o comprometidas, facilitando así un ataque de cadena de suministro.
En un comunicado aparte, la plataforma afectada afirmó que el ataque se llevó a cabo al comprometer uno de los ordenadores de sus desarrolladores, afectando una cuenta operada por Bybit, lo que resultó en la propuesta de una transacción maliciosa disfrazada. Ante esto, la empresa implementó medidas de seguridad adicionales para mitigar este vector de ataque.
Lazarus es un grupo de hackers norcoreano patrocinado por el Estado, conocido por sofisticados ataques de ingeniería social contra credenciales de desarrolladores, a veces combinados con exploits de día cero.
