Hakerzy powiązani z Koreą Północną podejrzani o włamanie do Bitrefill, które opróżniło portfele

Bitrefill ujawnił, że był celem cyberataku 1 marca, który spowodował kradzież funduszy kryptowalutowych, i poinformował, że jego śledztwo znalazło wiele wskaźników łączących incydent z taktykami stosowanymi przez grupę Lazarus/Bluenoroff powiązaną z KRLD.

Firma stwierdziła, że podobieństwa w metodach atakujących, złośliwym oprogramowaniu, wzorcach śledzenia on-chain oraz ponowne wykorzystanie adresów IP i e-mail są zgodne z poprzednimi operacjami przypisywanymi tej grupie.

Cyberatak na Bitrefill

Według firmy, naruszenie rozpoczęło się od skompromitowanego laptopa pracownika, z którego wydobyto starsze dane uwierzytelniające. Te dane umożliwiły dostęp do migawki zawierającej tajemnice produkcyjne, które atakujący następnie wykorzystali do rozszerzenia dostępu do systemów Bitrefill. Umożliwiło im to dotarcie do części bazy danych i niektórych portfeli kryptowalutowych.

W swoim najnowszym tweecie Bitrefill poinformował, że po raz pierwszy zidentyfikował incydent po wykryciu nietypowych wzorców zakupowych dotyczących niektórych dostawców, co wskazywało na niewłaściwe wykorzystanie zapasów kart podarunkowych i przepływów dostaw. W tym samym czasie zaobserwowano opróżnianie niektórych gorących portfeli, a środki były wysyłane na adresy kontrolowane przez atakujących. Po potwierdzeniu naruszenia firma wyłączyła wszystkie systemy, aby opanować sytuację.

Po incydencie Bitrefill potwierdził, że współpracuje z zewnętrznymi ekspertami ds. cyberbezpieczeństwa, zespołami reagowania na incydenty, analitykami blockchain i organami ścigania.

Firma stwierdziła, że nic nie wskazuje na to, aby dane klientów były głównym celem ataku. Zgodnie z jej logami atakujący uruchomili ograniczoną liczbę zapytań do bazy danych zgodnych z działalnością sondującą w celu zidentyfikowania tego, co można wydobyć. Obejmowało to kryptowaluty i zapasy kart podarunkowych. Bitrefill dodał, że przechowuje minimalne dane osobowe i nie wymaga obowiązkowego KYC, a wszelkie informacje weryfikacyjne są przechowywane przez zewnętrznego dostawcę.

Jednak potwierdził, że uzyskano dostęp do około 18 500 rekordów zakupów, w tym adresów e-mail, adresów płatności kryptowalutowych i metadanych, takich jak adresy IP. W około 1000 przypadkach, w których klienci podali nazwiska dla określonych produktów, informacje były zaszyfrowane, ale firma traktuje je jako potencjalnie dostępne ze względu na możliwe ujawnienie kluczy szyfrowania. Ci użytkownicy zostali powiadomieni.

Bitrefill stwierdził, że obecnie nie uważa, aby klienci musieli podejmować konkretne działania, ale zalecił czujność w odniesieniu do wszelkich nieoczekiwanych komunikatów związanych z Bitrefill lub kryptowalutami.

Firma dodała, że wzmocniła swoje środki bezpieczeństwa, w tym przeprowadzając dalsze zewnętrzne przeglądy cyberbezpieczeństwa i testy penetracyjne, zaostrzyła wewnętrzne kontrole dostępu, ulepszyła systemy monitorowania i rejestrowania oraz udoskonaliła procedury reagowania na incydenty. Stwierdziła, że straty finansowe zostaną pokryte z jej kapitału operacyjnego i że większość usług, w tym płatności i zapasy, została przywrócona.

Chaos wywołany przez Lazarus

Nawet gdy wiele platform kryptowalutowych wzmocniło swoje ramy bezpieczeństwa w ostatnich latach, podmioty zagrażające nadal omijają zabezpieczenia. Grupa Lazarus pozostaje najbardziej uporczywym i niebezpiecznym przeciwnikiem sektora, odpowiedzialnym za największy zarejestrowany hack kryptowalutowy po kradzieży 1,4 miliarda dolarów z Bybit w lutym 2025 roku.

Śledczy blockchain ZachXBT wcześniej stwierdził, że naruszenia dotyczące platform takich jak Bybit, DMM Bitcoin i WazirX doprowadziły do łatwego prania skradzionych funduszy. Śledczy on-chain dodał, że grupy zajmujące się praniem pieniędzy „najwyraźniej wygrały bitwę" z organami ścigania.

Post Hakerzy powiązani z Koreą Północną podejrzewani o naruszenie Bitrefill, które opróżniło portfele pojawił się jako pierwszy na CryptoPotato.