Самые разыскиваемые в криптомире: 3 хакера, стоящие за волной цифровых преступлений

К 2025 году кражи криптовалюты превратились из простых мошенничеств в сложные операции, поддерживаемые государствами. Они нацелены на крупные биржи и критически важную инфраструктуру. За первую половину 2025 года похитили более $2,17 млрд, и эта сумма продолжает расти

Только в сентябре 20 атак на криптовалюту привели к убыткам в $127,06 млн, что подчеркивает растущую угрозу. Ниже представлены три известных хакера, участвовавших в крупных атаках на криптовалюту.

1. Lazarus Group

Группа Lazarus — печально известная хакерская организация, поддерживаемая Северной Кореей. Известная также как APT 38, Labyrinth Chollima и HIDDEN COBRA, она постоянно демонстрирует способность обходить даже самые передовые системы безопасности.

Hacken сообщает, что их операции ведутся как минимум с 2007 года, начиная с атак на правительственные системы Южной Кореи. Среди других заметных атак — взлом Sony Pictures в 2014 году (в ответ на фильм «Интервью»), вирус-вымогатель WannaCry в 2017 году и постоянные атаки на экономические сектора Южной Кореи.

В последние годы Lazarus активно крадет криптовалюту, похитив более $5 млрд с 2021 по 2025 год. Самой значительной стала атака на Bybit в феврале 2025 года, когда группа украла $1,5 млрд в Ethereum (ETH) — это крупнейшая кража криптовалюты в истории. Другие операции включали кражу $3,2 млн Solana (SOL) в мае 2025 года.

«Взлом ByBit КНДР кардинально изменил ландшафт угроз в 2025 году. Сумма в $1,5 млрд не только стала крупнейшей кражей криптовалюты в истории, но и составила примерно 69% всех средств, похищенных у сервисов в этом году», — сообщили в Chainalysis в июле.

2. Gonjeshke Darinde

Gonjeshke Darande (хищный воробей) — это группа политически мотивированных кибератак, которую связывают с Израилем. На фоне обострения конфликта между Израилем и Ираном, группа взломала Nobitex, крупнейшую криптобиржу Ирана, похитив около $90 млн, прежде чем уничтожить средства.

Gonjeshke Darande также опубликовал исходный код Nobitex, подорвав доверие к системам биржи и нанеся серьезный удар по ее репутации среди пользователей и партнеров.

«12 часов назад 8 адресов для сжигания уничтожили $90 млн из кошельков Nobitex, инструмента, который режим использует для обхода санкций. Через 12 часов исходный код Nobitex станет доступен всем, и закрытая система Nobitex потеряет защиту. Где вы хотите хранить свои активы?» — написали они в июне.

Другие атаки группы также были направлены на иранскую инфраструктуру, банки и другие объекты.

• В июле 2021 года Gonjeshke Darande нарушил работу железнодорожных систем Ирана, вызвав значительные задержки и разместив насмешливые сообщения на табло.
• В октябре 2022 года группа атаковала три крупных сталелитейных завода, опубликовав кадры пожаров, которые нанесли серьезный физический и экономический ущерб.
• В мае 2025 года они взломали Bank Sepah, государственный банк Ирана, утекли конфиденциальные данные и нарушили финансовые операции.

The octopus ruling Iran has many arms – they are being cut off one by one

This week, we, “Gonjeshke Darande”, targeted the IRGC’s financial lifelines – the arteries feeding terror and destruction.

These infrastructures were not operated for the benefit of the citizens.
They… pic.twitter.com/5aEiN0esGl

— Gonjeshke Darande (@GonjeshkeDarand) June 20, 2025

3. UNC4899

UNC4899 — еще одно государственное подразделение хакеров из Северной Кореи, занимающееся криптовалютами. Согласно отчету Google Cloud Threat Horizons, группа действует под руководством Главного разведывательного управления (ГРУ) — основного разведывательного агентства Северной Кореи.

Отчет показал, что группа активна как минимум с 2020 года. UNC4899 сосредоточила свои усилия на криптовалютном и блокчейн-секторах. Группа продемонстрировала высокие способности в компрометации цепочек поставок.

«Примечательный пример — их использование JumpCloud для проникновения в компанию по разработке программного обеспечения и нанесения ущерба клиентам в криптовалютной сфере. Это подчеркивает каскадные риски, создаваемые такими продвинутыми противниками», — говорится в отчете.

Между 2024 и 2025 годами криптохакеры совершили два крупных ограбления. В одном случае они заманили жертву в Telegram, внедрили вредоносное ПО через Docker-контейнеры, обошли многофакторную аутентификацию в Google Cloud и похитили миллионы в криптовалюте.

В другом случае они обратились к цели через LinkedIn, украли сессионные куки AWS для обхода средств безопасности, внедрили вредоносный JavaScript в облачные сервисы и снова похитили миллионы в цифровых активах.

Вместо выводов

Таким образом, в этом году кражи криптовалют стали инструментом не только финансовых преступлений, но и геополитических конфликтов. Потери в миллиарды и стратегические мотивы многих атак показывают, что биржи, поставщики инфраструктуры и даже правительства должны рассматривать безопасность криптовалют как вопрос национальной безопасности. Без скоординированной защиты, обмена разведывательной информацией и усиленных мер безопасности по всей экосистеме, потери будут только расти.