Noord-Korea-gelinkte hackers verdacht van Bitrefill-inbraak die wallets heeft geleegd

Bitrefill maakte bekend dat het op 1 maart doelwit was van een cyberaanval, waarbij cryptocurrency-fondsen werden gestolen. Het onderzoek van het bedrijf vond meerdere indicatoren die het incident koppelen aan tactieken die worden gebruikt door de aan Noord-Korea gelieerde Lazarus/Bluenoroff-groep.

Het bedrijf verklaarde dat overeenkomsten in de methoden van de aanvallers, malware, on-chain traceerpatronen en het hergebruik van IP- en e-mailadressen consistent zijn met eerdere operaties die aan de groep worden toegeschreven.

Bitrefill Cyberaanval

Volgens het bedrijf begon de inbreuk bij de gecompromitteerde laptop van een medewerker, waar een verouderde inloggegevens werd geëxtraheerd. Die inloggegevens gaven toegang tot een snapshot met productiegeheimen, die de aanvallers vervolgens gebruikten om hun toegang tot de systemen van Bitrefill uit te breiden. Hierdoor konden ze delen van de database en bepaalde cryptocurrency-wallets bereiken.

In zijn laatste tweet zei Bitrefill dat het het incident voor het eerst identificeerde na het detecteren van ongebruikelijke aankooppatronen bij sommige leveranciers, wat erop wees dat zijn cadeaubonvoorraad en toevoerstromen werden misbruikt. Tegelijkertijd merkte het op dat sommige hot wallets werden geleegd en dat fondsen naar door de aanvallers gecontroleerde adressen werden verzonden. Zodra de inbreuk werd bevestigd, heeft het bedrijf alle systemen stilgelegd om de situatie in te dammen.

Na het incident bevestigde Bitrefill dat het samenwerkt met externe cybersecurity-experts, incident response teams, blockchain-analisten en wetshandhaving.

Het bedrijf zei dat er geen aanwijzingen zijn dat klantgegevens de hoofdfocus van de aanval waren. Volgens de logs voerden de aanvallers een beperkt aantal database-queries uit die consistent waren met verkenningsactiviteiten om te identificeren wat kon worden geëxtraheerd. Dit omvatte cryptocurrency en cadeaubonvoorraad. Bitrefill voegde eraan toe dat het minimale persoonlijke gegevens opslaat en geen verplichte KYC vereist, waarbij alle verificatie-informatie bij een externe provider wordt bewaard.

Het bevestigde echter dat ongeveer 18.500 aankoopgegevens werden geopend, inclusief e-mailadressen, cryptocurrency-betalingsadressen en metadata zoals IP-adressen. In ongeveer 1.000 gevallen waarin klanten namen hadden verstrekt voor specifieke producten, was de informatie versleuteld, maar het bedrijf behandelt deze als mogelijk geopend vanwege mogelijke blootstelling van versleutelingssleutels. Die gebruikers zijn op de hoogte gesteld.

Bitrefill zei dat het momenteel niet gelooft dat klanten specifieke actie moeten ondernemen, maar adviseerde waakzaamheid met betrekking tot onverwachte communicatie gerelateerd aan Bitrefill of cryptocurrency.

Het bedrijf voegde eraan toe dat het zijn beveiligingsmaatregelen heeft versterkt, waaronder het uitvoeren van verdere externe cybersecurity-beoordelingen en penetratietesten, het aanscherpen van interne toegangscontroles, het verbeteren van monitoring- en loggsystemen en het verfijnen van incident response procedures. Het zei dat de financiële verliezen zullen worden gedekt uit zijn operationeel kapitaal en dat de meeste diensten, inclusief betalingen en voorraad, zijn hersteld.

Lazarus Chaos

Hoewel veel cryptoplatforms hun beveiligingsframeworks de afgelopen jaren hebben opgevoerd, blijven cybercriminelen beschermingen omzeilen. De Lazarus Group blijft de meest hardnekkige en gevaarlijke tegenstander van de sector, verantwoordelijk voor de grootste crypto-hack ooit geregistreerd na het stelen van $1,4 miljard van Bybit in februari 2025.

Blockchain-onderzoeker ZachXBT zei eerder dat inbreuken op platforms zoals Bybit, DMM Bitcoin en WazirX gemakkelijk witwassen van gestolen fondsen zagen. De on-chain onderzoeker had toegevoegd dat de witwasgroepen "de strijd schijnbaar hebben gewonnen" tegen handhaving.

Het bericht North Korea-Linked Hackers Suspected in Bitrefill Breach That Drained Wallets verscheen eerst op CryptoPotato.