Bitrefill-hacket knyttet til Lazarus: hvad det afslører om kryptorisici

Betalings- og gavekortplatformen Bitrefill har genoptaget driften, efter et cyberangreb den 1. marts 2026 eksponerede dele af sin infrastruktur og kryptowallets.

Selskabet tilskriver bruddet Lazarus Group, som er knyttet til Nordkorea, efter en intern undersøgelse.

Angriberne fik adgang til produktionsnøgler, drænede midler fra hot wallets og fik adgang til et begrænset sæt kunders købsregistreringer.

Bitrefill oplyste, at de vil dække alle tab med driftskapital.

Selvom tjenesterne er vendt tilbage til normal, understreger hændelsen de risici, som kryptoplatforme står over for, og sofistikeringen hos statsforbundne hackergrupper.

Hvordan bruddet begyndte

Angrebet udsprang fra en kompromitteret medarbejders laptop, som eksponerede forældede legitimationsoplysninger.

Det gav angriberne mulighed for at bevæge sig på tværs af Bitrefills systemer og få adgang til infrastruktur, herunder databaser og kryptowallets.

Bruddet blev synligt, da virksomheden registrerede usædvanlig købsadfærd blandt leverandører.

Angriberne udnyttede gavekortbeholdningen samtidig med, at de overførte midler fra hot wallets.

Bitrefill reagerede ved at tage systemer offline for at inddæmme hændelsen.

Selskabet bekræftede senere, at angriberne brugte malware, on-chain-sporing og genbrugte IP- og e-mail-mønstre.

Disse metoder stemte overens med taktikker, der forbindes med Lazarus Group, også kendt som Bluenoroff.

Forbindelser til tidligere angreb i kryptosektoren

Lazarus Group er blevet kædet sammen med flere brud i kryptosektoren.

Tidligere hændelser har haft platforme såsom Ronin Network, Harmony’s Horizon Bridge, WazirX og Atomic Wallet som mål.

Bitrefill oplyste, at teknikkerne brugt i dette angreb viste ligheder med tidligere sager.

Det omfatter blandt andet adgang via kompromitterede legitimationsoplysninger, målretning af hot wallets og flytning af midler gennem blockchain-netværk.

En detaljeret redegørelse for hændelsen blev delt af selskabet på X, hvor det blev beskrevet, hvordan angriberne kombinerede cyberintrusionsmetoder med blockchain-baserede bevægelser af midler.

Eksponering af kundedata

Bruddet involverede adgang til omkring 18,500 købsregistreringer.

Disse poster indeholdt e-mailadresser, kryptovaluta-betalingsadresser og metadata såsom IP-adresser.

Omtrent 1,000 poster indeholdt desuden krypterede brugernavne knyttet til køb.

Bitrefill oplyste, at de betragter denne undergruppe som potentielt kompromitteret og har kontaktet de berørte brugere.

Selskabet erklærede, at der ikke er beviser for, at kundedata var det primære mål.

Interne logfiler viste, at angriberne kørte et begrænset antal forespørgsler fokuseret på kryptosaldi og gavekortbeholdning frem for at udtrække hele databasen.

Bitrefill bemærkede også, at de opbevarer minimale personoplysninger og ikke kræver obligatorisk KYC, hvilket kan have reduceret omfanget af eksponeringen.

Brugere er blevet bedt om at være forsigtige over for uventede henvendelser.

Genopretning og sikkerhedsforanstaltninger

Bitrefill oplyste, at de fleste systemer, herunder betalinger, lager og konti, nu er tilbage online, og at transaktionsvolumener er vendt tilbage til det normale.

Selskabet bekræftede, at det forbliver profitabelt og i stand til at absorbere den økonomiske påvirkning af bruddet.

Som reaktion herpå har det indført sikkerhedsopgraderinger.

Disse omfatter ekstern penetrationstest, strengere adgangskontrol, forbedret logning og overvågning samt opdaterede procedurer for hændelsesreaktion.

Selskabet arbejder fortsat sammen med sikkerhedsforskere, incident response-hold, on-chain-analytikere og retshåndhævende myndigheder som led i efterforskningen.

Bitrefill beskrev dette som sin første større sikkerhedshændelse i over et årtis drift og oplyste, at det har taget skridt til at styrke sin sikkerhed efter angrebet.