Foro 1: Noticia de un ataque informático a redes de información 2023

Ronny Infante Herrera

Universidad Latinoamericana de Ciencia y Tecnología

3C2023-670007G1 Seguridad en redes.

Prof. Jorge Hernandez Solano

28 de septiembre del 2023

 Los ataques informáticos a redes de la información son más y más frecuentes cada día.

Kondruss (2023) señala que en lo que llevamos de septiembre del 2023 se han presentado 41

ataques de ransomware y ciber ataques en 20 países que fueron reportados, siendo Canadá,

Alemania y Estados Unidos los más afectados con 5 ataques cada uno.

Lazarus Group

Lazarus Group es un grupo de cibercriminales que supuestamente son patrocinados por

Corea del Norte, este grupo es conocido por diferentes ataques y/o actividades delictivas, como

el ransomware WannaCry.

Figura 1

Logo de Lazarus group.

Tomado de SalkovVasil (2022)

 El primer ataque conocido por esta organización delictiva se dio entre el 2009 y el 2012.

Fue un ataque de DDoS (distributed denial of service) que tenía como blanco el gobierno de

Corea del Sur. Entre los ataques más importantes que se le ha atribuido a esta organización

están:

- A la compañía Sony Pictures en el 2014

- En el 2015 atacaron el Banco del Austro en Ecuador, donde se reportó un robo de

US$12millones.

- Para el 2016 lograron infiltrarse en el Bangladesh Bank, robándose US$81 millones

- Para el 2017 se reporta que la agrupación se robó US$60 millones del banco en Taiwan

Far Eastern International Bank, sin embargo, no está claro el total del monto robado y la

mayoría de los fondos pudieron ser recuperados.

Figura 2

La localización geográfica de los ataques financieros del Lazarus group.

Tomada de Kaspersky (2017)

Para el 2023 se le han asignado 5 ataques a este grupo de hackers en un lapso de 104

días. Según Elliptic Research (s.f.) los ataques empezaron el 3 de junio del presente año a

Atomic Wallet, el 22 de julio atacaron CoinsPaid, seguido ese mismo día atacaron también al

proveedor de crypto pagos Alphapo. Para el mes de septiembre también atacaron a Stake.com

el 4 de ese mes y a CoinEx el 12.

Lo que hace que Lazarus Group sea tan peligroso es que mejora continuamente su red

criminal y asciende a nuevas alturas técnicas. De hecho, en julio, según Bleeping Computer, el

grupo secuestró servidores web Microsoft IIS para difundir su malware y difundir los llamados

ataques de abrevadero (watering hole en inglés) que aprovechan un sitio web confiable para

infectar a los visitantes.

Figura 3

Como funciona el ataque de abrevadero.

Tomado de Celestino (2013)

Hackeo a Atomic Wallet.

Atomic wallet es un monedero de criptomonedas, donde se pueden administrar mas de

300 criptomonedas y permite hacer intercambios atómicos, esto es un intercambio de

criptomonedas que se realiza de forma descentralizada sin intermediarios.

Atomic Wallet es un monedero o billetera no custodiada, en otras palabras, esta permite

al usuario la custodia de su llave privada y el total control de sus fondos. Si llegase a perder la

llave y la frase semilla perdería completamente el acceso a sus fondos. Una billetera

custodiada es cuando otra entidad maneja la llave privada y los fondos; haciendo la billetera no

custodiada, supuestamente, mucho más segura a haqueos.

Figura 4

El monedero Atomic Wallet.

Nota: En la imagen se muestra como se ven las diferentes criptomonedas que tiene el dueño

del monedero. Tomado de Arroyo (2019)

El ataque al monedero Atomic supuestamente se registró el 2 de junio del 2023 y al día

siguiente Atomic Wallet anuncio en la aplicación X (antes conocido como Twitter) que recibió

reportes de monederos que habían sido comprometidos, al principio se reporto un monto

robado mayor a $35 millones de dólares, pero ahora se habla de $100 millones.

Este ataque se le atribuya al Lazarus Group porque la manera de “lavar” los fondos

robados son los mismos que esta agrupación uso en hackeos de diferentes sitios en el pasado.

Atomic Wallet fue informado en el 2021 por la firma auditora Least Authority de varias

vulnerabilidades en el código utilizado. Esta firma reporta que la empresa Atomic Wallet no hizo

lo suficiente para corregir las vulnerabilidades encontradas a pesar de que fueron advertidos

varias veces para que se hicieran cargo del problema. En febrero 2023 Least Authority publico

una advertencia que los usuarios tenían sus pertenencias en riesgo. El reporte enumero
diferentes vulnerabilidades que incluía una criptografía defectuosa, y el uso inapropiado del

framework Electron.

Al día de hoy no se han dado las explicaciones de como fue hackeado Atomic Wallet o

ningún comunicado oficial de cómo fueron robados esos $35 millones; lo que dicen ellos es que

“ellos no almacenan ni tampoco tienen acceso a las llaves privadas de los usuarios”.

Algunos atribuyen el hackeo a que la agrupación se aprovecho de las vulnerabilidades

encontradas anteriormente, otros hablan del factor humano, que los usuarios abrieran links

dudosos y pudieran ser hackeados. Otra posible opción que se menciona es que Atomic Wallet

tuviera una actualización maliciosa que envía las llaves privadas al atacante cuando el usuario

ingresa en la aplicación.

De acuerdo a los agentes de seguridad que trabajan para Atomic Wallet las posibles

causas son:

- Un virus en los dispositivos de las billeteras de los usuarios

- Un ataque de hombre en el medio (man-in-the-middle)

- Una violación en la infraestructura

- Inyección de código malicioso

Baydikova (2023) relata que según Elliptic (una herramienta de análisis de blockchain)

los fondos robados fueron movidos a un mixer llamado Sindbad.io (un mixer toma la

criptomoneda de un usuario y la mezcla con la criptomoneda de otros usuarios creando así un

conjunto de fondos mezclados e imposibles de rastrear), que ha sido usado anteriormente para

lavar el dinero de otros hacks que fueron atribuidos a la agrupación Lazarus y que usaron el

mismo patrón para mover el dinero. Elliptic también informo que encontró conexiones entre

billeteras que contenían parte de lo robado a Atomic y algunos otros robos realizados por esta

agrupación. Luego de pasar por el mixer los fondos son movidos a Garantex, una empresa
virtual que se dedica al cambio de ciber divisas y que ya había sido sancionada por facilitar

transacciones ilícitas, y con la cual Lazarus Group cambiaba las divisas robadas a bitcoin.

Figura 5

Como fue movida el dinero sustraído a Atomic Wallet.

Tomada de Robinson (2023)

Siempre que una empresa es hackeada no solo sufre pérdidas financieras, también se

pierde la confianza de sus clientes y su reputación se ve comprometida, y eso lo podemos ver

en el valor de su moneda nativa, la Atomic Wallet coin que su valor bajo en casi un 40%

Figura 6

Valor de la moneda Atomic Wallet coin durante los primeros 15 días de junio del 2023.
Tomada de CoinMarketCap (2023)

Después del hackeo que sufrieron, ahora Atomic Wallet enfrenta una demanda por mas

de $100 millones. La acusación dice que la empresa no compartió ninguna información con sus

clientes acerca del hackeo, ni tampoco lo reporto a la policía.

En visto de lo sucedido a Atomic Wallet, los inversionistas en criptomonedas deberían

de seguir algunas precauciones para mitigar el riesgo asociado con estas, como por ejemplo:

- Escoger monederos confiables: Prefiera los monederos con un sólido historial y

comprometidos a la seguridad. Busque plataformas que ofrezcan cifrado sólido,

autenticación de dos factores y opciones de almacenamiento en frío para mayor

protección, esto consiste en mantener la información fuera de línea y alejada de

posibles ataques cibernéticos.

- Diversificar la cartera: Evite tener todas sus criptomonedas en una sola billetera.

Diversifique el almacenamiento a través de múltiples monederos para mejorar la

seguridad.
 - Manténgase informado: Esté atento periódicamente a noticias y actualizaciones

sobre las medidas de seguridad adoptadas por los proveedores de billeteras.

Conéctese con la comunidad de criptomonedas para mantenerse informado

sobre posibles vulnerabilidades y mejores prácticas para proteger sus activos

digitales.

- Considere asegurar su billetera electrónica: Algunas carteras e intercambios de

criptomonedas ofrecen cobertura de seguro contra hackeos y robos. Explore la

disponibilidad de dichas opciones y evalúe si se alinean con su tolerancia al

riesgo.

Bibliografía

Arroyo, M. (1 de febrero de 2019). Cómo funciona Atomic Wallet, un monedero de criptomonedas e

intercambios atómicos. Obtenido de CRIPTONOTICIAS [imagen]:
https://www.criptonoticias.com/tutoriales-guias/atomic-wallet-permite-intercambios-atomicos/

Baydikova, A. (6 de junio de 2023). Atomic Wallet Was Breached by North Korean Hackers: Elliptic.
Obtenido de CoinDesk: https://www.coindesk.com/consensus-magazine/2023/06/06/atomic-
wallet-was-breached-by-north-korean-hackers-elliptic/

Celestino, O. (13 de febrero de 2013). Watering Hole 101. Obtenido de Trendmicro [imagen]:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/137/watering-hole-101

CoinMarketCap. (26 de septiembre de 2023). Atomic Wallet Coin Markets. Obtenido de CoinMarketCap
[imagen]: https://coinmarketcap.com/currencies/atomic-wallet-coin/

Elliptic Research. (s.f.). How the Lazarus Group is stepping up crypto hacks and changing its tactics.
Obtenido de Elliptic, Co.: Elliptic Research. (s/f). How the Lazarus Group is stepping up crypto
hacks and changing its tactics. Elliptic.Co. Recuperado el 26 de septiembre de 2023, de
https://www.elliptic.co/blog/how-the-lazarus-group-is-stepping-up-crypto-hacks-and-changing-
its-t

Kaspersky. (03 de mayo de 2017). Lazarus Under The Hood. Obtenido de Secure List [Mapa]:
https://securelist.com/lazarus-under-the-hood/77908/

Kondruss, B. (20 de septiembre de 2023). Cyber attacks news today 2023. Retrieved from Kon Briefing:
https://konbriefing.com/en-topics/cyber-attacks.html
Robinson, T. (13 de junio de 2023). North Korea-linked Atomic Wallet Heist Tops $100 Million. Obtenido
de Elliptic Connect [imagen]: https://hub.elliptic.co/analysis/north-korea-linked-atomic-wallet-
heist-tops-100-million/

SalkovVasil. (23 de setiembre de 2022). Lazarus Group hacker group. Obtenido de Wikipedia.org:
https://commons.wikimedia.org/wiki/File:Lazarus_Group.png