Investigadores da Coreia do Sul acabaram de apontar o grupo de hackers norte-coreano Lazarus como responsável por um ataque cibernético à UpBit, a maior corretora de criptomoedas do país. O evento resultou no vazamento de cerca de 45 bilhões de won, ou aproximadamente 36 milhões de dólares em criptomoedas. Fontes do governo e da indústria confirmaram que a investigação está focada nessa linha, e uma vistoria nas instalações da corretora está nos planos.
A operadora da UpBit, a Dunamu, anunciou na quinta-feira (27) que sofreu o ataque após descobrir transferências não autorizadas. No total, 44,5 bilhões de won em ativos relacionados à Solana foram movimentados. Para acalmar os usuários, a empresa afirmou que cobrirá o prejuízo com recursos próprios.
A suspeita em relação ao Lazarus não é nova. Esse mesmo grupo já foi acusado de um roubo em 2019, quando levou Ethereum avaliado em 58 bilhões de won da mesma corretora. De acordo com as autoridades, os métodos usados nesse ataque recente são muito parecidos com os do episódio anterior.
Método de ataque e motivação
Diferente de um ataque direto aos servidores, as evidências indicam que os hackers podem ter comprometido as contas dos administradores ou se passado por eles para autorizar as transações. Um funcionário do governo explicou: “Em vez de atacar o servidor, é possível que os hackers tenham comprometido as contas dos administradores ou se passado por eles para realizar a transferência.”
Esse tipo de estratégia pode estar ligado ao cenário geopolítico atual. Especialistas observam que Pyongyang tem intensificado suas tentativas de arrecadar fundos estrangeiros, já que o grupo Lazarus desempenha um papel financeiro importante para o regime, que enfrenta sérias sanções e uma escassez de moeda estrangeira.
Estratégia para lavar o dinheiro
Um oficial de segurança apontou que a tática do Lazarus após o roubo se baseia em transferir as criptomoedas para carteiras em outras corretoras, com o objetivo de tentar lavar o dinheiro. Esse processo envolve múltiplas transferências e conversões, dificultando o rastreamento e a recuperação dos valores.
E não é só isso. O timing do ataque também chama atenção. Ele ocorreu um dia depois que a Naver Corp., maior operadora de buscadores da Coreia do Sul, anunciou a aquisição da Dunamu como uma subsidiária integral da Naver Financial. Essa coincidência de datas pode ser mais do que um simples acaso.
Outro funcionário do setor de segurança comentou: “Os hackers têm uma forte tendência à autoexposição”, sugerindo que, além de lucros, o grupo busca notoriedade e impacto midiático, escolhendo momentos estratégicos para agir.
Enquanto isso, a investigação avança. As autoridades estão concentradas em rastrear os ativos digitais e entender melhor como o grupo Lazarus conseguiu explorar a brecha de segurança.
