Hackers Ligados à Coreia do Norte Suspeitos de Violação da Bitrefill Que Drenou Carteiras

A Bitrefill divulgou que foi alvo de um ciberataque a 1 de março, que resultou no roubo de fundos de criptomoedas, e afirmou que a sua investigação encontrou múltiplos indicadores que ligam o incidente a táticas utilizadas pelo grupo Lazarus/Bluenoroff associado à RPDC.

A empresa declarou que as semelhanças nos métodos dos atacantes, malware, padrões de rastreamento on-chain e a reutilização de endereços IP e de e-mail são consistentes com operações anteriores atribuídas ao grupo.

Ciberataque à Bitrefill

Segundo a empresa, a violação teve origem no portátil comprometido de um funcionário, onde foi extraída uma credencial antiga. Essa credencial permitiu o acesso a um snapshot contendo segredos de produção, que os atacantes depois utilizaram para expandir o seu acesso aos sistemas da Bitrefill. Isto permitiu-lhes alcançar partes da base de dados e certas carteiras de criptomoedas.

No seu mais recente tweet, a Bitrefill afirmou que identificou primeiro o incidente após detetar padrões de compra incomuns envolvendo alguns fornecedores, o que indicava que o seu inventário de cartões-presente e fluxos de fornecimento estavam a ser utilizados indevidamente. Ao mesmo tempo, observou que algumas hot wallets estavam a ser esvaziadas e os fundos foram enviados para endereços controlados pelos atacantes. Uma vez confirmada a violação, a empresa encerrou todos os sistemas para conter a situação.

Após o incidente, a Bitrefill confirmou que tem vindo a trabalhar com especialistas externos em cibersegurança, equipas de resposta a incidentes, analistas de blockchain e autoridades policiais.

A empresa afirmou que não há indícios de que os dados dos clientes tenham sido o principal foco do ataque. De acordo com os seus registos, os atacantes executaram um número limitado de consultas à base de dados consistentes com atividade de sondagem para identificar o que poderia ser extraído. Isto incluiu criptomoedas e inventário de cartões-presente. A Bitrefill acrescentou que armazena dados pessoais mínimos e não exige verificação KYC obrigatória, com qualquer informação de verificação detida por um fornecedor externo.

No entanto, confirmou que cerca de 18.500 registos de compras foram acedidos, incluindo endereços de e-mail, endereços de pagamento de criptomoedas e metadados como endereços IP. Em cerca de 1.000 casos onde os clientes tinham fornecido nomes para produtos específicos, a informação estava encriptada, mas a empresa está a tratá-la como potencialmente acedida devido à possível exposição de chaves de encriptação. Esses utilizadores foram notificados.

A Bitrefill afirmou que atualmente não acredita que os clientes precisem de tomar medidas específicas, mas aconselhou vigilância relativamente a quaisquer comunicações inesperadas relacionadas com a Bitrefill ou criptomoedas.

A empresa acrescentou que reforçou as suas medidas de segurança, incluindo a realização de revisões externas adicionais de cibersegurança e testes de penetração, reforço dos controlos de acesso internos, melhoria dos sistemas de monitorização e registo, e aperfeiçoamento dos procedimentos de resposta a incidentes. Afirmou que as perdas financeiras serão cobertas pelo seu capital operacional e que a maioria dos serviços, incluindo pagamentos e inventário, foram restabelecidos.

Caos Lazarus

Mesmo com muitas plataformas de criptomoedas a reforçarem as suas estruturas de segurança nos últimos anos, os agentes de ameaças continuam a contornar as proteções. O Grupo Lazarus continua a ser o adversário mais persistente e perigoso do setor, responsável pelo maior hack de criptomoedas registado após roubar 1,4 mil milhões de dólares da Bybit em fevereiro de 2025.

O investigador de blockchain ZachXBT afirmou anteriormente que violações envolvendo plataformas como Bybit, DMM Bitcoin e WazirX viram fundos roubados serem lavados com facilidade. O investigador on-chain acrescentou que os grupos de lavagem de dinheiro "aparentemente ganharam a batalha" sobre a aplicação da lei.

A publicação Hackers Ligados à Coreia do Norte Suspeitos na Violação da Bitrefill Que Esvaziou Carteiras apareceu primeiro no CryptoPotato.