Ladrões da Coreia do Norte têm ano recorde em roubo de criptomoedas

Hackers criminosos da Coreia do Norte roubaram quase US$ 400 milhões em criptomoedas em 2021. Foram sete ataques, principalmente a empresas de investimento e mercados descentralizados (Dex) no ano passado, de acordo com relatório da Chainanalysis.

Os ataques foram de phishing, exploits de código, malware e engenharia social e tinham como alvo as carteiras de usuários. Além de roubar os fundos, os hackers aplicaram técnicas de lavagem de dinheiro para extraí-los.

Os grupos norte-coreanos foram classificados como APTs (ameaças persistentes avançadas). O APT 38, também conhecido como “Lazarus”, é liderado pela agência de inteligência da Coreia do Norte, o Escritório Geral de Reconhecimento. Eles lideraram os ataques em 2021, apesar da agência operar com sanções dos EUA e da ONU.

O Lazarus ganhou notoriedade nos ataques à Sony e com o WannaCry, mas têm se concentrado na estratégia lucrativa de crimes envolvendo criptomoedas. Desde 2018, o grupo roubou mais de US$ 200 milhões anuais. Ataques no KuCoin e em um DEX (mercado) desconhecido, geraram US$ 250 milhões cada. De acordo com o Conselho de Segurança da ONU, o lucro desses ataques vai para o programa de armas nucleares da Coreia do Norte.

Em 2021, o lucro dos hackers aumentou em 40% e praticamente dobrou o número de ataques (de quatro em 2020 para sete em 2021). Cerca de 20% dos roubos foram em Bitcoin, 22% em ERC-20 ou altcoins. A maioria, entretanto, foi de Ether, 58% dos roubos.

O complicado processo de lavar dinheiro na Coreia do Norte

A necessidade da lavagem de dinheiro após os roubos fez com que os hackers diversificassem os ataques. Há diversas maneiras de lavar dinheiro obtido com os crimes, entre elas:

• ERC-20 tokens e altcoins são trocados por Ether em DEX
• Ether é mesclado a outras criptomoedas
• Ether mesclado é trocado por Bitcoin via DEX
• Bitcoin é mesclado
• Bitcoin mesclado é consolidado em novas carteiras
• Bitcoin é enviado para endereços de depósito em mercados de criptomoedas baseados na Ásia, locais de saque em potencial

Em todos estes processos, é notável o grande uso de moedas para mesclar com o Ether e Bitcoin entre os hackers da Coreia do Norte.

Acima de 65% do lucro dos roubos foi lavado com mescla de moedas, um aumento significativo dos 42% do ano passado e 21% em 2019, o que mostra que os ataques têm sido cada vez mais planejados.

A mesclagem é feita com software que arrecada e mistura moedas de milhares de endereços de carteiras. Trata-se de um modo planejado para obscurecer origem de criptomoedas.

O interesse em plataformas financeiras descentralizadas (DeFi) como DEX provê liquidez para ERC-20 tokens ou altcoins que não poderia ser sacados de outra forma. E ainda, DeFi não é custódia de fundos e não coleta informação de consumidores (know-your-customer – KYC). O resultado é que os criminosos usam essas plataformas ocultando sua identidade.

Nem todos os fundos roubados podem ser lavados imediatamente. Cerca de US$ 170 milhões ainda estão acumulados para lavagem, resultado de 49 ataques entre 2017 e 2021.

Do total de fundos norte-coreanos, US$ 35 milhões vieram de ataques em 2020 e 2021. Mais de US$ 55 milhões vieram de ataques em 2016. Os fundos aguardam lavagem há mais de seis anos. Este cenário mostra que há um grande planejamento nas ações dos criminosos que devem continuar em 2022.