Les pirates nord-coréens ont volé au moins 400 millions de dollars en crypto-monnaies l’année dernière, selon une analyse de l’activité de la blockchain.

L’estimation provient de Chainalysis, une entreprise spécialisée dans le suivi des transactions de crypto-monnaie. La société a également travaillé avec les forces de l’ordre pour traquer les cybercriminels suspects et a publié aujourd’hui un rapport documentant les vols de crypto-monnaie d’un groupe de piratage basé en Corée du Nord et parrainé par l’État, appelé Lazarus.

« Les cybercriminels nord-coréens ont connu une année record en 2021, lançant au moins sept attaques sur des plateformes de crypto-monnaie qui ont extrait près de 400 millions de dollars d’actifs numériques l’année dernière », a déclaré Chainalysis.

Graphique D'Analyse En Chaîne

Lazarus est peut-être mieux connu pour avoir prétendument dirigé le piratage de Sony Pictures en 2014 et l’épidémie de rançongiciel WannaCry en 2017. Depuis lors, le groupe a également été aperçu en train de voler des centaines de millions de crypto-monnaies, souvent à partir d’échanges virtuels et de sociétés d’investissement. L’objectif est de financer le gouvernement nord-coréen et les programmes d’armes nucléaires, selon les Nations Unies.

Publicité

« De 2020 à 2021, le nombre de hacks liés à la Corée du Nord est passé de quatre à sept, et la valeur extraite de ces hacks a augmenté de 40 % », a ajouté Chainalysis. L’un des piratages impliquait l’échange de crypto-monnaie Liquid.com, qui a fait perdre 91,5 millions de dollars au groupe.

Le rapport de Chainalysis a révélé que dans l’ensemble, seuls 20% des fonds volés par les Nord-Coréens l’année dernière étaient constitués de Bitcoin. La majorité, à 58%, était Ether, tandis que le reste couvrait à la fois des altcoins et des jetons ERC-20.

Les pirates nord-coréens ont ensuite blanchi le butin volé en « mélangeant » les fonds à travers des milliers d’adresses de crypto-monnaie pour masquer leur origine. Une fois brouillés, les fonds ont été échangés contre des bitcoins, qui pouvaient être encaissés contre des fiat dans des bourses cryptographiques basées en Asie.

En suivant les cambriolages du groupe, Chainalysis a déclaré avoir également découvert plusieurs portefeuilles de crypto-monnaie que les pirates nord-coréens utilisent pour stocker une fortune. « Chainalysis a identifié 170 millions de dollars de soldes actuels – représentant les fonds volés de 49 piratages distincts s’étendant de 2017 à 2021 – qui sont contrôlés par la Corée du Nord mais qui n’ont pas encore été blanchis par le biais de services », a déclaré la société.

Graphique D'Analyse En Chaîne

« On ne sait pas pourquoi les pirates seraient toujours assis sur ces fonds, mais il se pourrait qu’ils espèrent que l’intérêt des forces de l’ordre pour ces affaires s’atténuera, afin qu’ils puissent encaisser sans être surveillés », a ajouté Chainalysis.

Recommandé par nos rédacteurs

Jeudi, la société de sécurité Kaspersky a également averti que les pirates nord-coréens étaient occupés à essayer de voler diverses entreprises qui travaillent avec des crypto-monnaies. Pour ce faire, les pirates nord-coréens se font passer pour des sociétés de capital-risque et envoient des e-mails contenant des logiciels malveillants à des victimes potentielles.

« Dans certains cas, les acteurs ont utilisé un compte piraté d’un employé d’une société de capital-risque pour avoir une conversation avec la cible », a déclaré le fournisseur d’antivirus. « Les chercheurs de Kaspersky ont découvert plus de 15 entreprises à risque dont les noms de marque et les noms d’employés ont été abusés pendant la campagne. »

Les pirates nord-coréens ont ensuite utilisé le malware pour espionner les ordinateurs des victimes avant d’orchestrer un moyen de voler des fonds dans leurs portefeuilles de crypto-monnaie. Cela a inclus le remplacement des extensions de navigateur capables de gérer les portefeuilles de crypto-monnaie par une extension malveillante.

« Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, les attaquants interceptent le processus de transaction et injectent leur propre logique (informatique), modifiant l’adresse du destinataire et maximisant le montant de la transaction, vidant le compte d’un seul coup », a déclaré Kaspersky.

Vous aimez ce que vous lisez ?

S’inscrire pour Veille de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.