Web3-beveiligingsexperts benadrukken de Lazarus Groep uit Noord-Korea als een aanzienlijke dreiging voor de cryptobranche in 2024.
Recentelijk werd gemeld dat de beruchte Lazarus Groep naar verluidt $12 miljoen heeft doorgesluisd via de cryptomenger Tornado Cash. Deze fondsen worden verondersteld te zijn gekoppeld aan de hack van HTX en Heco Bridge in november vorig jaar, waarbij de platforms meer dan $90 miljoen verloren.
Dit was slechts een van de inbraken van de groep in 2023. Gedurende het jaar hebben de door Noord-Korea gesteunde hackers meer dan $400 miljoen aan activa aangetast op verschillende cryptoplatforms, waaronder CoinEX, Poloniex, Stake.com en Atomic Wallet. In 2022 voerde de groep de grootste defi-hack in de geschiedenis uit, waarbij ze het Ronin Network aanvielen en ongeveer $620 miljoen buitmaakten.
De hacks van Lazarus vonden plaats tijdens een langdurige bearmarkt in de cryptobranche, die leed onder de gevolgen van de ineenstorting van FTX en Terra Luna. Nu de bullmarkt echter weer in volle gang is, met belangrijke tokens die recordhoogtes bereiken en nieuwe meme-munten die miljarden dollars aan kapitaal naar de markt brengen, worden de zorgen over Lazarus alleen maar prominenter.
Om inzicht te krijgen in hoe de branche zich moet voorbereiden op dergelijke risico’s, kunnen we meekijken met de web3-beveiligingsprovider Cyvers, die vorig jaar als enige de hack van Poloniex heeft opgespoord.
Hoe voert Lazarus zijn crypto-overvallen van miljoenen dollars uit?
Volgens CEO Deddy Lavid van Cyvers heeft de Lazarus Groep haar cyberaanval strategieën in 2023 aanzienlijk gewijzigd, waarbij zij zich nu richt op gecentraliseerde entiteiten met een verfijnde en dynamische aanpak. Naast traditionele phishing- en brute force-methoden maakt de groep nu gebruik van door AI aangedreven phishing campagnes en complexe smart contract-exploits.
De aanvallen op Poloniex en HTX hadden specifiek tot doel privésleutels te stelen en een reeks kleine aanvallen binnen korte tijd te lanceren. Om geautomatiseerde aanvallen uit te voeren, maakte de groep ook gebruik van voorgeprogrammeerde bots. Deze bots blijven vaak lang onopgemerkt in een systeem voordat ze beginnen met het extraheren van de activa.
Lavid benadrukte verder dat de operationele methoden van de Lazarus Groep vergelijkbaar zijn met militaire precisie, wat duidt op een uitzonderlijk hoog niveau van professionaliteit onder cybercriminele syndicaten. Hij beschrijft een terugkerend patroon in hun aanvallen: ze beginnen met het infiltreren via social engineering, blijven maandenlang onopgemerkt binnen de doelorganisatie en stelen dan privésleutels voor een reeks snelle, goed gecoördineerde aanvallen met droogrondes en ongewoon hoge transactiesnelheden.
Na de voorbereidingsfase worden de gestolen activa verspreid over meerdere blockchains, waarna ze uiteindelijk worden doorgesluisd via mixers of beurzen voor het witwassen van geld.
Daarom, hoewel de cryptobull-run van 2024 een opwindend vooruitzicht biedt voor zowel investeerders als innovators, brengt het ook een dringende oproep tot actie met zich mee voor de beveiligingssector. Zo zei Deddy Lavid, CEO bij Cyvers, het volgende:
“Mijn analyse benadrukt de noodzaak van verhoogde veiligheidsmaatregelen in de cryptocurrency- en blockchainruimte, waarbij wordt aangedrongen op een dieper begrip van het belang van informatiebeveiliging, een oproep voor meer beveiligingsprofessionals, en een focus op proactieve aanvalpreventie.”
In 2024 verwacht Lavid een evolutie in de cryptomarkt, waarbij de aanvankelijke kwetsbaarheden worden overwonnen en er een meer volwassen benadering van beveiliging wordt aangenomen.
Om deze verandering te ondersteunen, is het essentieel dat crypto-platforms meer investeren in het opbouwen van expertise op het gebied van beveiliging binnen hun organisaties. Ze moeten een allesomvattende strategie implementeren die gericht is op het voorkomen van aanvallen en het effectief aanpakken van mogelijke fraude op de blockchain.