Criptocurrency: nuevo objetivo de ciberatacantes

06 Abril 2022
Informativo

 

Durante los últimos años, el uso de la criptomoneda ha cobrado cada vez más relevancia por su facilidad de cambio y la aceptación de esta como divisa de compra en muchos comercios alrededor del mundo.

En Chile, hasta mediados de 2021, el crecimiento del uso de esta “moneda” seguía en aumento, dado que las firmas financieras Mastercard y Visa adoptaron las criptomonedas como medio de pago oficial en transacciones cotidianas.

Bajo este escenario, muchos usuarios buscan día a día la mejor “oferta” para realizar intercambios de divisa (compra o venta de cryptocurrency), y así poder administrar sus billeteras virtuales, optando a poner en manos de operadores no convencionales, dineros que podrían ser sustraídos en un ataque a la plataforma que efectúa este resguardo o intercambio.

Consecuente con lo anterior, el día martes 29 de marzo, una reconocida empresa y proyecto de blockchain que se dedica al resguardo de billeteras virtuales y efectuar intercambios de divisa de este tipo, fué comprometida por un ataque que hasta el día de hoy se investiga, desde donde se sustrajeron poco más de USD $625 millones, desde diferentes wallets de usuarios de la plataforma.

 

Qué son las criptomonedas

La definición oficial de una criptomoneda es “un activo digital que emplea un cifrado criptográfico para garantizar su titularidad y asegurar la integridad de las transacciones”, además de controlar la creación de unidades adicionales, para evitar que alguien pueda hacer copias de estas. 

Estas monedas no existen de forma física, por lo que se almacenan en una cartera digital, que normalmente son administradas y ofrecidas por muchas empresas de trading en el mundo.

Las criptomonedas cuentan con diversas características diferenciadoras respecto a los sistemas tradicionales:

  • No están reguladas ni controladas por ninguna institución
  • No requieren de intermediarios en las transacciones.
  • Se usa una base de datos descentralizada, blockchain o registro contable compartido, para el control de estas transacciones.

 

Funcionamiento de una transacción de criptomonedas.

 

Compromiso de Mailchimp

Mailchimp ha confirmado el acceso no autorizado a una de sus herramientas internas y la usó para robar datos pertenecientes a más de 100 clientes de alto valor.

Todos los clientes estaban en industrias relacionadas con criptomonedas y finanzas, de acuerdo a los primeros datos de la intrusión que surgieron en Twitter durante el fin de semana.

El domingo, el fabricante de billeteras y hardware para criptomonedas Trezor, cuyo sitio web es trezor.io, advirtió que “alguien” estaba enviando correos electrónicos de "noreply @ trezor . us" que contenían un enlace a malware diseñado para recopilar la información de los propietarios de la billetera.

 


Aviso de compromiso enviado por Trezor

 

El ataque consistía en un correo donde se indicaba que debido a un incidente de seguridad, las billeteras se podrían haber visto comprometidas y producto de esto, es necesario actualizar la aplicación relacionada a la wallet, disponibilizando un enlace en el correo de phishing.

 


Phishing enviado a clientes de Trezor.
 

De acuerdo a lo indicado por ambas compañías, se mantiene una investigación para determinar si este compromiso, podría afectar a otros clientes / usuarios, aunque se especula que el grupo Lapsus$ podría estar involucrado en este ataque.  

 

Ataque a la red Ronin Blockchain

La empresa anunció este martes que habría sido víctima del robo de criptomonedas, por un valor total aproximado de USD $625 millones de sus sistemas, en lo que sería uno de los robos de criptomonedas más grandes de la historia.

Indagaciones por parte de la compañía líder del proyecto, indican que piratas informáticos no identificados robaron el 23 de marzo unos 173.600 tokens de Ethereum (ETH) y 25,5 millones de tokens de monedas de USDC (un token digital con un valor  en proporcion 1:1 con USD) Al tipo de cambio actual, los fondos sustraídos asciende a 625 millones de dólares (unos 540M en euros).

 

Ranking de robos de criptomonedas.

 

Esto lo convierte en el segundo robo de criptografía más grande registrado, según la firma de análisis de blockchain Elliptic.

 

Detalles del ataque 

Según el comunicado “post mortem” emitido por la empresa, una brecha de seguridad en la Red Ronin habría sido explotada, donde los nodos de validación Ronin de Sky Mavis y los nodos de validación Axie DAO se vieron comprometidos, resultando en la sustracción de 173.600 Ethereum y 25,5 millones de USDC, drenados en dos transacciones. El atacante usó claves privadas vulneradas para falsificar estos retiros. El ataque fue descubierto la mañana del 29 de marzo después de un informe de un usuario que no podía retirar 5k ETH del puente comprometido.

Al día de hoy, las transacciones siguen disponibles en la wallet del atacante.

 

Balance en la cuenta del atacante

 

Después de la sustracción, el atacante comenzó a lavar ETH a través de tres importantes intercambios centralizados, los que de momento suman alrededor de $16 millones en ETH. Esto deja $524 millones en varias cuentas de Ethereum, que parecen pertenecer al atacante. 

 

Distribución de cuentas para el blanqueo de ETH.


 

Presencia en Chile

Las criptomonedas aún no tienen regulación legal exhaustiva en Chile. No están prohibidas, pero es importante reconocer que no están respaldadas por ninguna autoridad o banco. En Chile, actualmente no existen regulaciones específicas para estos activos, ni para sus emisores o intermediarios, excepto para su forma de tributación.

A pesar de no existir regulación respecto a sus aspectos sustantivos, distintas autoridades se han pronunciado sobre ellas. En este sentido, el Banco Central ha señalado que al no tener un emisor soberano que los respalde y asuma la responsabilidad de mantener su valor, no pueden considerarse como “monedas” en el sentido legal y conceptual del término. Por su parte, la CMF ha establecido que, bajo el marco legal actual, las llamadas criptomonedas tampoco pueden considerarse valores.

Al presente año, más de 5000 comercios en Chile aceptan operaciones por medio de criptomonedas, por lo que esta tendencia sugiere una paulatina alza con el paso del tiempo, así como aquellos usuarios que poco a poco siguen sumándose a las transacciones por medio de esta opción.


 

APT’s con alto interés en criptowallets

Variadas campañas de ataques contra entidades que controlan esta divisa, fueron observadas durante 2021 y el inicio de este año, sin embargo, la presencia de “billeteras calientes” en internet, llamó la atención de diferentes grupos maliciosos que vieron una oportunidad de adquirir dinero de una forma “fácil” y rápida.

En este punto, por medio de evidencia financiera se pudo constatar que grupos de APT de Corea del Norte, estarían interesados en adquirir los fondos de diferentes wallets, por medio del robo de estas, habiendo además perpetrado un ataque a diferentes proveedores, desde las que obtuvieron alrededor de 400 millones de dólares en criptomonedas a través de ciberataques a puntos de venta de divisas digitales.

 

Operación de blanqueo de criptomonedas

 

Diferentes análisis dicen que Corea del Norte fortaleció sus capacidades cibernéticas con un ejército de miles de hackers bien entrenados que extraen finanzas para financiar los programas de armas del estado.

En 2021, esos hackers lanzaron siete ataques a plataformas de criptomonedas, extrayendo activos de billeteras conectadas a Internet para luego traspasar los fondos a cuentas controladas por el grupo Lazarus, los que una vez con la custodia de los fondos, iniciaron un cuidadoso proceso de blanqueo para encubrirlos y cobrarlos.

Por otra parte, durante el inicio de este año, un atacante desconocido robó 326 millones de dólares en criptomonedas al atacar uno de los conocidos como “puentes” que permiten intercambiar diferentes tipos de estas divisas digitales, como Ethereum.

 

Wormhole anuncia problemas en su plataforma durante el robo de criptomonedas.

 

El ataque se dirigió al puente Wormhole, un protocolo que permite a los internautas cambiar específicamente entre las criptomonedas Ethereum y Solana.

Por otra parte, recientes investigaciones indicaron que una versión troyanizada de DeFi Wallet estaría siendo distribuida por Lazarus, a modo de instalable del navegador Google Chrome, el que se distribuye desde servidores comprometidos en Corea del Sur.

Esto, vendría a corroborar las teorías respecto a que el grupo tendría altos intereses sobre las billeteras de criptomonedas expuestas en internet, de las que podría drenar los activos por medio de este backdoor.

 

Campañas de malware relacionadas al crypto clipping

En diciembre de 2021, se descubrió una nueva variante del malware Phorpiex diseñada para el robo de criptomonedas en la etapa de transacciones. Llamada Twitz, esta nueva variante de la botnet ha estado siendo distribuida principalmente a través de campañas de phishing.

Esta variante de malware es principalmente comercializada en mercados clandestinos de la dark web o en algunos casos incluso en Telegram, cuya “licencia” se ofrece por poco dinero bajo el modelo de malware como servicio (MaaS, por sus siglas en inglés).

Es importante mencionar que el malware que hace uso del crypto clipping no es nuevo. Se ha observado en los últimos años que varias de las familias de troyanos bancarios comunes en LATAM, como algunas variantes de Mekotio presentes en Chile, han utilizado el crypto clipping para robar dinero de las billeteras de usuarios comprometidos.

 

Campaña de protección contra estafas de criptomonedas

En un esfuerzo conjunto, policías y algunas fiscalías de diecisiete países de América Latina y la Unión Europea (Argentina, Bolivia, Chile, Colombia, Costa Rica, Ecuador, El Salvador, España, Guatemala, Honduras, México, Panamá, Paraguay, Perú, Portugal, República Dominicana y Uruguay) se unen para lanzar una campaña de comunicación y sensibilización a la ciudadanía, cuyo objetivo es concienciar sobre las principales estafas detectadas en las operaciones con criptomonedas

De esta manera los ciudadanos podrán identificar cómo se producen y qué trucos emplean los estafadores para llevar a cabo sus operaciones, así como aquellas personas que están siendo o han sido víctimas de alguna estafa, podrán informarse de los canales de comunicación para poder denunciarlas.

 

Sitio de denuncias de estafas con criptomonedas

 

Para explicar el modus operandi de los delincuentes se han creado para la campaña seis tipos de criptomonedas ficticias que se corresponden con las principales estafas detectadas. En torno a estas estafas se han diseñado varios productos de comunicación que dan forma a la campaña, principalmente un website (www.fakecoins.org) que servirá de espacio centralizador al que podrá acudir la ciudadanía, conteniendo información sobre las estafas, consejos para evitar caer en los engaños y teléfonos de denuncia de cada país

 

Panorama

La tecnología blockchain ofrece una base de datos distribuida en nodos o espacios de información de la red de internet que abre la posibilidad de contar con niveles de seguridad que salvaguarden los intereses económicos de sus usuarios, permitiendo su uso de manera tranquila y confiable

Esta base contiene todas las transacciones de criptomonedas en el mundo y ofrece comunicación directa entre iguales, con anonimato e irreversibilidad.

De esta forma, aquellos usuarios que utilizan servicios de banca electrónica en Chile y los países que son afectados por este tipo de amenazas, deben mantenerse aún más alertas y prepararse para potenciales ataques con orígenes múltiples, como ya se ha comentado.

Bajo este escenario y considerando la forma en que algunos actores maliciosos operan, las tecnologías involucradas en el robo de divisas en RONIN podría extrapolarse a otras situaciones similares, donde nuevamente un grupo de amenazas globales proveniente de Corea del Norte, es el protagonista.

De igual forma, como se ha mencionado en boletines anteriores, el troyano bancario Mekotio posee capacidades para robar datos de monederos personales, los que al estar presentes en usuarios de LATAM y especialmente Chile, se vuelven un objetivo interesante a la hora de desplegar campañas de distribución de este malware.

Por lo tanto, es recomendable aplicar buenas prácticas y criterios de seguridad, medidas suficientes para evitar ser víctimas de Mekotio y otras amenazas cuyo historial demuestra el abuso de este tipo de tecnologías.

Finalmente, la probabilidad de que este tipo de ataques y distribución de malware y sus campañas asociadas, además de extender sus operaciones a Chile, siga aumentando con el paso de los días, considerando que estos objetivos se mantienen “on line” permanentemente, además de aquellos que utilizan estas “pasarelas de pago” casi de manera nativa.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Utilice contraseñas seguras y aplique la autenticación multifactor siempre que sea posible.
  • Active la función de actualización automática de software en su computadora, dispositivo móvil y otros dispositivos conectados siempre que sea posible y pragmático. 
  • Utilice un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, incluidos PC, portátiles y dispositivos móviles.    
  • Abstenerse de abrir enlaces y archivos adjuntos de correo electrónico que no sean de confianza sin verificar su autenticidad.
  • Realice prácticas de copia de seguridad periódicas y mantenga esas copias de seguridad fuera de línea o en una red separada.
  • No abrir enlaces de correos electrónicos que no ha solicitado o cuyo remitente no le resulta familiar.
  • Una buena práctica es que si recibe algún correo sospechoso, no responda ni solicite mayor información al respecto, evitar interactuar con el atacante.

Tags: #Phishing #Malspam #Mekotio #Malware #Troyano Bancario #CryptoClipping #Ethereum #Crypto #Cryptocurrency #Criptomonedas #Ronin
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.