Platforma de plăți în criptomonede și carduri cadou Bitrefill a dat vina pe grupul de hacking Lazarus legat de Coreea de Nord pentru un atac cibernetic din 1 martie 2026, care a compromis părți din infrastructura sa și portofele de criptomonede.

Atacatorii au obținut acces la cheile de producție, au transferat fonduri din portofele hot și au expus 18.500 de înregistrări de achiziții conținând e-mailuri, adrese de plată și adrese IP.

Aproximativ 1.000 de înregistrări au inclus nume de utilizator criptate. Utilizatorii afectați au fost notificați. Operațiunile au fost reluate, compania anunțând că va acoperi pierderile din capitalul operațional. Incidentul subliniază importanța vigilenței în ceea ce privește securitatea cripto și on-chain.

Modul de operare a inclus malware, trasare on-chain și adrese IP și e-mail reutilizate și a fost similar cu atacurile anterioare atribuite Grupului Lazarus din Coreea de Nord, cunoscut și sub numele de Bluenoroff, a declarat compania într-un raport detaliat pe X.

Grupul Lazarus a vizat anterior proiecte cripto, inclusiv Ronin Network, Harmony's Horizon Bridge, WazirX și Atomic Wallet.

Cum s-a desfășurat atacul

Totul a început cu un laptop de angajat compromis, care a expus credențiale vechi și a permis atacatorilor să acceseze infrastructura mai largă a Bitrefill, inclusiv părți din baza sa de date și portofele de criptomonede.

Breșa a devenit rapid evidentă când compania a observat modele neobișnuite de achiziții în rândul anumitor furnizori, semnalând că atacatorii exploatau inventarul său de carduri cadou și lanțurile de aprovizionare. Firma a observat, de asemenea, că atacatorii goleau unele portofele hot și mutau fonduri la propriile adrese, după care sistemul a fost deconectat pentru a limita daunele.

"Bitrefill operează o afacere globală de comerț electronic cu zeci de furnizori, mii de produse și multiple metode de plată în multe țări. Deconectarea în siguranță a tuturor acestor lucruri și readucerea lor online nu este banală", a declarat compania într-o declarație.

De la incident, Bitrefill a lucrat cu cercetători în securitate, echipe de răspuns la incidente, analiști on-chain și forțele de ordine pentru a investiga breșa.

Impactul asupra datelor clienților

Hackerii au accesat un set mic de înregistrări de achiziții, aproximativ 18.500, conținând

Bitrefill a declarat că nu există dovezi că datele clienților au fost un obiectiv principal. Jurnalele sale indică faptul că atacatorii au executat un număr limitat de interogări vizând deținerile de criptomonede și inventarul de carduri cadou, mai degrabă decât extragerea întregii baze de date.

Platforma stochează date personale minime și nu necesită KYC obligatoriu. Un subset mic de înregistrări de achiziții, aproximativ 18.500, a fost accesat, conținând informații precum adrese de e-mail, adrese de plată cripto și metadata inclusiv adrese IP. Aproximativ 1.000 de înregistrări conțineau nume criptate pentru produse specifice; compania tratează aceste date ca potențial compromise și a notificat clienții afectați direct prin e-mail.

În prezent, Bitrefill nu consideră că clienții trebuie să întreprindă acțiuni suplimentare, deși recomandă prudență cu privire la comunicările neașteptate legate de Bitrefill sau criptomonede.

Pași pentru consolidarea securității

Ca răspuns la breșă, Bitrefill a declarat că și-a consolidat deja practicile de securitate cibernetică și lucrează pentru a trage lecții din incident.

Compania a conturat mai multe măsuri, inclusiv efectuarea de teste de penetrare cuprinzătoare cu experți externi, înăsprirea controalelor de acces intern, îmbunătățirea înregistrării și monitorizării pentru detectarea mai rapidă a amenințărilor și rafinarea procedurilor de răspuns la incidente și protocoalelor automate de oprire.

Privind înainte

Bitrefill a recunoscut că acesta a fost primul său atac major în peste un deceniu de funcționare, dar a subliniat că rămâne bine finanțată și profitabilă, capabilă să absoarbă pierderile operaționale. Majoritatea sistemelor, inclusiv plățile, stocul și conturile, sunt din nou online, volumele de vânzări revenind la normal.

"A fi lovit de un atac sofisticat este neplăcut (foarte)", a declarat compania. "Dar am supraviețuit. Vom continua să facem tot posibilul pentru a continua să merităm încrederea clienților noștri."