Платформа криптовалютних платежів і подарункових карток Bitrefill звинуватила пов'язану з Північною Кореєю хакерську групу Lazarus у кібератаці 1 березня 2026 року, яка скомпрометувала частини її інфраструктури та криптовалютні гаманці.

Зловмисники отримали доступ до виробничих ключів, перевели кошти з гарячих гаманців і розкрили 18 500 записів про покупки, що містять електронні адреси, платіжні адреси та IP-адреси.

Приблизно 1 000 записів містили зашифровані імена користувачів. Постраждалі користувачі були повідомлені. Операції відновлено, компанія оголосила про покриття збитків з операційного капіталу. Інцидент підкреслює важливість пильності щодо криптовалюти та безпеки в мережі.

Спосіб дій включав шкідливе програмне забезпечення, ончейн відстеження та повторно використовувані IP- та електронні адреси і був схожий на попередні атаки, приписувані групі Lazarus Північної Кореї, також відомій як Bluenoroff, повідомила компанія в детальному звіті на X.

Група Lazarus раніше атакувала криптопроєкти, включаючи Ronin Network, Harmony's Horizon Bridge, WazirX і Atomic Wallet.

Як відбувалася атака

Усе почалося зі скомпрометованого ноутбука співробітника, який розкрив застарілі облікові дані та дозволив зловмисникам отримати доступ до ширшої інфраструктури Bitrefill, включаючи частини її бази даних і криптовалютні гаманці.

Злом швидко став очевидним, коли компанія помітила незвичайні моделі покупок серед певних постачальників, що сигналізувало про те, що зловмисники використовують її запаси подарункових карток і ланцюги постачання. Компанія також зазначила, що зловмисники спустошують деякі гарячі гаманці та переміщують кошти на свої власні адреси, після чого систему було вимкнено для обмеження збитків.

«Bitrefill керує глобальним бізнесом електронної комерції з десятками постачальників, тисячами продуктів і численними способами оплати в багатьох країнах. Безпечне вимкнення всіх цих речей і повернення їх в онлайн не є тривіальним», — заявила компанія у своїй заяві.

Після інциденту Bitrefill працює з дослідниками безпеки, командами реагування на інциденти, ончейн-аналітиками та правоохоронними органами для розслідування злому.

Вплив на дані клієнтів

Хакери отримали доступ до невеликого набору записів про покупки, приблизно 18 500, що містять

Bitrefill заявила, що немає доказів того, що дані клієнтів були основною метою. Її журнали вказують на те, що зловмисники виконали обмежену кількість запитів, спрямованих на володіння криптовалютою та запаси подарункових карток, а не на видобуття всієї бази даних.

Платформа зберігає мінімальні особисті дані і не вимагає обов'язкової KYC. До невеликого підмножини записів про покупки, приблизно 18 500, було отримано доступ, що містить інформацію, таку як електронні адреси, криптоплатіжні адреси та метадані, включаючи IP-адреси. Близько 1 000 записів містили зашифровані імена для конкретних продуктів; компанія розглядає ці дані як потенційно скомпрометовані та безпосередньо повідомила постраждалих клієнтів електронною поштою.

Наразі Bitrefill не вважає, що клієнтам потрібно вживати будь-яких додаткових дій, хоча радить бути обережними щодо несподіваних повідомлень, пов'язаних з Bitrefill або криптовалютою.

Кроки для посилення безпеки

У відповідь на злом Bitrefill заявила, що вже посилила свої практики кібербезпеки та працює над тим, щоб зробити висновки з інциденту.

Компанія окреслила кілька заходів, включаючи проведення комплексних тестів на проникнення із зовнішніми експертами, посилення внутрішнього контролю доступу, покращення ведення журналів і моніторингу для швидшого виявлення загроз, а також вдосконалення процедур реагування на інциденти та автоматизованих протоколів вимкнення.

Погляд у майбутнє

Bitrefill визнала, що це була її перша велика атака за понад десятиліття роботи, але підкреслила, що вона залишається добре фінансованою та прибутковою, здатною поглинути операційні збитки. Більшість систем, включаючи платежі, запаси та акаунти, знову в мережі, обсяги продажів повертаються до нормального рівня.

«Постраждати від витонченої атаки — це погано (дуже)», — заявила компанія. «Але ми вижили. Ми продовжимо робити все можливе, щоб продовжувати заслуговувати на довіру наших клієнтів».