Los atacantes engañaron a un empleado con una falsa oferta de trabajo y esto derivó en el robo de 173.000 ETH y 25.5 millones en USDC a Ronin, la red blockchain de Axie Infinity.
En marzo de 2022 se conocía lo que hasta ese momento era el segundo ataque más importante al ecosistema cripto: el que apuntó al sidechain Ronin, utilizado por el popular videojuego Axie Infinity, y que permitió a los cibercriminales robar 173,600 ETH y 25.5 millones en la stablecoin USDC. Según un informe reciente publicado por The Block, que tuvo acceso a fuentes involucradas con lo acontecido, un ingeniero de la compañía Sky Mavis fue engañdo con una falsa oferta de trabajo de una compañía inexistente y esto permitió a los atacantes poner un pie adentro de la red.
Al parecer, este ingeniero senior fue contactado a través de LinkedIn por supuestos representantes de una compañía y lo invitaron a postularse a una oferta de trabajo que prometía un atractivo paquete de compensaciones. Luego de varias rondas de entrevista, los atacantes enviaron la oferta formal en un archivo bajo la forma de un PDF que el ingeniero descargó y abrió. Esto llevó al compromiso de su equipo con malware y permitió a los cibercriminales utilizar este acceso para ingresar a los sistemas de Ronin.
El 27 de abril de 2022, casi cuatro semanas después del ataque a Ronin, Sky Mavis sacó un comunicado en el cual compartió detalles de lo que ocurrió y confirmó que una vez adentro de la red los atacantes utilizaron ese acceso para penetrar en la infraestructura TI de Sky Mavis y lograr acceder a los nodos de validación.
Como explicamos en su momento, los nodos de validación son utilizados para validar depósitos y retiros. Con el compromiso de más de la mitad de estos nodos de validación los actores maliciosos pudieron firmar transacciones y extraer el dinero.
Por otra parte, Sky Mavis reveló que sus empleados están constantemente bajo ataques de phishing dirigidos a través de distintas plataformas.
En abril de 2022 el FBI publicó un comunicado en el que aseguran que el grupo de APT Lazarus es el actor responsable del ataque a Ronin y el robo de más de 600 millones de dólares. Vale la pena mencionar que según investigadores de ESET el grupo Lazarus tiene mucha experiencia distribuyendo malware en falsas ofertas de trabajo, tanto para Windows como para macOS.
En 2020 el equipo de ESET reveló detalles de una campaña de espionaje de Lazarus dirigida a compañías militares y aeroespaciales de Europa y Medio Oriente en la cual utilizaron LinkedIn para engañar a empleados (ver imagen con ejemplo 1 y 2) de las empresas previamente seleccionadas haciéndose pasar por representantes de RR.HH de compañías reconocidas en la industria.
Fuente info
Autor: Juan Manuel Harán