Hackeri legați de Coreea de Nord suspectați în breșa Bitrefill care a golit portofele

Bitrefill a dezvăluit că a fost țintă a unui atac cibernetic pe 1 martie, care a dus la furtul de fonduri în criptomonede, și a declarat că investigația sa a găsit mai mulți indicatori care leagă incidentul de tacticile utilizate de grupul Lazarus/Bluenoroff asociat RPDC.

Compania a declarat că asemănările în metodele atacatorilor, malware, modelele de urmărire on-chain și reutilizarea adreselor IP și de e-mail sunt consistente cu operațiunile anterioare atribuite grupului.

Atacul cibernetic asupra Bitrefill

Conform companiei, breșa a provenit de la laptop-ul compromis al unui angajat, de unde a fost extrasă o acreditare veche. Această acreditare a permis accesul la un snapshot care conținea secrete de producție, pe care atacatorii le-au folosit apoi pentru a-și extinde accesul în sistemele Bitrefill. Acest lucru le-a permis să ajungă la părți ale bazei de date și la anumite portofelele de criptomonede.

În cel mai recent tweet al său, Bitrefill a spus că a identificat inițial incidentul după detectarea unor modele neobișnuite de achiziție care implicau unii furnizori, ceea ce indica că inventarul său de carduri cadou și fluxurile de aprovizionare erau folosite greșit. În același timp, a observat că unele portofelele hot erau golite, iar fondurile erau trimise la adrese controlate de atacatori. Odată ce breșa a fost confirmată, compania a închis toate sistemele pentru a conține situația.

În urma incidentului, Bitrefill a confirmat că a lucrat cu experți externi în securitate cibernetică, echipe de răspuns la incidente, analiști blockchain și forțele de ordine.

Compania a declarat că nu există nicio indicație că datele clienților au fost principalul obiectiv al atacului. Conform jurnalelor sale, atacatorii au efectuat un număr limitat de interogări ale bazei de date consistente cu activități de sondare pentru a identifica ce ar putea fi extras. Aceasta a inclus criptomonede și inventarul de carduri cadou. Bitrefill a adăugat că stochează date personale minime și nu necesită KYC obligatoriu, toate informațiile de verificare fiind deținute de un furnizor extern.

Cu toate acestea, a confirmat că aproximativ 18.500 de înregistrări de achiziții au fost accesate, inclusiv adrese de e-mail, adrese de plată în criptomonede și metadate precum adrese IP. În aproximativ 1.000 de cazuri în care clienții furnizaseră nume pentru produse specifice, informațiile erau criptate, dar compania le tratează ca fiind potențial accesate din cauza posibilei expuneri a cheilor de criptare. Acei utilizatori au fost notificați.

Bitrefill a declarat că în prezent nu consideră că clienții trebuie să ia măsuri specifice, dar a recomandat vigilență cu privire la orice comunicări neașteptate legate de Bitrefill sau criptomonede.

Compania a adăugat că și-a consolidat măsurile de securitate, inclusiv efectuarea de revizuiri externe suplimentare de securitate cibernetică și teste de penetrare, înăsprirea controalelor de acces intern, îmbunătățirea sistemelor de monitorizare și înregistrare și rafinarea procedurilor de răspuns la incidente. A spus că pierderile financiare vor fi acoperite din capitalul său operațional și că majoritatea serviciilor, inclusiv plățile și inventarul, au fost restabilite.

Haosul Lazarus

Chiar dacă multe platforme crypto și-au intensificat cadrele de securitate în ultimii ani, actorii amenințători continuă să ocolească protecțiile. Grupul Lazarus rămâne cel mai persistent și periculos adversar al sectorului, responsabil pentru cel mai mare hack crypto înregistrat după ce a furat 1,4 miliarde de dolari de la Bybit în februarie 2025.

Investigatorul blockchain ZachXBT a declarat anterior că breșele care implică platforme precum Bybit, DMM Bitcoin și WazirX au văzut fondurile furate spălate cu ușurință. Investigatorul on-chain a adăugat că grupurile de spălare "par să fi câștigat bătălia" împotriva aplicării legii.

Articolul North Korea-Linked Hackers Suspected in Bitrefill Breach That Drained Wallets a apărut prima dată pe CryptoPotato.