Útok na Bitrefill spojený se skupinou Lazarus: co odhaluje o rizicích kryptoměn

Platforma pro platby v kryptoměnách a dárkové karty Bitrefill obnovila provoz poté, co kybernetický útok 1. března 2026 odhalil části její infrastruktury a kryptopeněženek.

Po interním šetření společnost připsala průnik skupině Lazarus, která má vazby na Severní Koreu.

Útočníci získali přístup k produkčním klíčům, vybrali prostředky z hot walletů a získali přístup k omezenému souboru záznamů o nákupech zákazníků.

Bitrefill uvedl, že veškeré ztráty pokryje z provozního kapitálu.

Ačkoliv jsou služby opět v normálu, incident zdůrazňuje rizika, kterým čelí krypto platformy, a sofistikovanost státem propojených hackerských skupin.

Jak začal průnik

Útok začal kompromitovaným notebookem zaměstnance, který odhalil starší přihlašovací údaje.

To útočníkům umožnilo pohybovat se napříč systémy Bitrefill a získat přístup k infrastruktuře, včetně databází a kryptopeněženek.

Průnik se projevil, když společnost zaznamenala neobvyklé nákupní chování u dodavatelů.

Útočníci zneužívali zásoby dárkových karet současně s převody prostředků z hot walletů.

Bitrefill reagoval odpojením systémů, aby incident omezil.

Společnost později potvrdila, že útočníci používali malware, sledování on‑chain a opakovaně využívali vzorce IP adres a e‑mailů.

Tyto metody odpovídaly taktikám spojovaným se skupinou Lazarus, známou také jako Bluenoroff.

Spojení s předchozími útoky na krypto

Skupina Lazarus byla spojována s několika průniky v sektoru kryptoměn.

Předchozí incidenty cílily na platformy jako Ronin Network, Horizon Bridge společnosti Harmony, WazirX a Atomic Wallet.

Bitrefill uvedl, že techniky použité při tomto útoku vykazovaly podobnosti s dřívějšími případy.

Patřilo mezi ně získání přístupu kompromitovanými přihlašovacími údaji, cílení na hot wallets a přesouvání prostředků napříč blockchainovými sítěmi.

Podrobný popis incidentu společnost sdílela na X, kde popisovala, jak útočníci kombinovali kybernetické průniky s přesuny prostředků v blockchainu.

Únik údajů zákazníků

Při průniku došlo k získání přístupu k přibližně 18 500 záznamům o nákupech.

Tyto záznamy obsahovaly e‑mailové adresy, platební adresy kryptoměn a metadata, jako jsou IP adresy.

Přibližně 1 000 záznamů navíc obsahovalo zašifrovaná uživatelská jména spojená s nákupy.

Bitrefill uvedl, že tuto podmnožinu považuje za potenciálně kompromitovanou a kontaktoval dotčené uživatele.

Společnost uvedla, že neexistují důkazy, že by údaje zákazníků byly hlavním cílem.

Interní záznamy ukázaly, že útočníci provedli omezený počet dotazů zaměřených na zůstatky kryptoměn a zásoby dárkových karet, nikoli na hromadné stažení celé databáze.

Bitrefill také poznamenal, že uchovává minimum osobních údajů a nevyžaduje povinné KYC, což mohlo snížit rozsah expozice.

Uživatelé byli upozorněni, aby byli obezřetní vůči neočekávaným komunikacím.

Obnova a bezpečnostní opatření

Bitrefill uvedl, že většina systémů, včetně plateb, zásob a účtů, je nyní opět online a objemy transakcí se vracejí k normálu.

Společnost potvrdila, že zůstává zisková a schopná absorbovat finanční dopad průniku.

V reakci zavedla bezpečnostní vylepšení.

Mezi ně patří externí penetrační testování, přísnější řízení přístupu, vylepšené protokolování a monitoring a aktualizované postupy reakce na incidenty.

Společnost pokračuje ve spolupráci s bezpečnostními výzkumníky, týmy pro reakci na incidenty, on‑chain analytiky a orgány činnými v trestním řízení jako součást vyšetřování.

Bitrefill označil tento incident za svůj první vážný bezpečnostní případ za více než deset let provozu a uvedl, že po útoku podnikl kroky ke zpevnění svých obranných opatření.